Malvér Fuxnet ICS
Výskumníci informačnej bezpečnosti nedávno analyzovali Fuxnet, formu malvéru zacieleného na priemyselné riadiace systémy (ICS), ktorý ukrajinskí hackeri nasadili pri nedávnom útoku na ruskú spoločnosť zaoberajúcu sa podzemnou infraštruktúrou.
Hackerský kolektív Blackjack, údajne prepojený s ukrajinským bezpečnostným aparátom, prevzal zodpovednosť za začatie útokov na niekoľko kritických ruských subjektov. Medzi ich ciele patrili poskytovatelia internetových služieb (ISP), verejné služby, dátové centrá a dokonca aj ruská armáda, čo malo za následok značné škody a extrakciu citlivých údajov.
Hackeri Blackjack navyše prezradili podrobnosti týkajúce sa údajného štrajku proti Moscollector, spoločnosti so sídlom v Moskve, ktorá dohliada na podzemnú infraštruktúru, ako je voda, kanalizácia a komunikačné systémy.
Obsah
Malvér Fuxnet je nasadený v útočných operáciách
Podľa hackerov sa ruská priemyselná senzorová a monitorovacia infraštruktúra stala nefunkčnou. Táto infraštruktúra zahŕňa Network Operation Center (NOC), zodpovedné za dohľad nad plynom, vodou, požiarnymi poplachmi a rôznymi ďalšími systémami, spolu s rozľahlou sieťou vzdialených senzorov a ovládačov internetu vecí. Hackeri tvrdili, že vymazali databázy, e-mailové servery, interné monitorovacie systémy a servery na ukladanie údajov.
Okrem toho tvrdili, že deaktivovali 87 000 senzorov vrátane tých, ktoré sú životne dôležité pre letiská, systémy metra a plynovody. Tvrdili, že to dosiahli pomocou Fuxnetu, malvéru, ktorý prirovnali k silnej verzii Stuxnetu , ktorý im umožňuje fyzicky poškodiť senzorové vybavenie.
Hackeri uviedli, že Fuxnet spustil záplavu RS485/MBus a vydával „náhodné“ príkazy pre 87 000 vstavaných riadiacich a senzorických systémov. Zdôraznili, že zo svojich akcií zámerne vylúčili nemocnice, letiská a iné civilné ciele.
Zatiaľ čo tvrdenia hackerov je náročné dokázať, výskumníkom sa podarilo analyzovať malvér Fuxnet na základe informácií a kódu poskytnutého skupinou Blackjack.
Malvér Fuxnet by mohol spôsobiť vážne poruchy
Odborníci na kybernetickú bezpečnosť zdôrazňujú, že fyzické senzory používané spoločnosťou Moscollector, ktoré sú zodpovedné za zhromažďovanie údajov, ako je teplota, pravdepodobne zostali nepoškodené spoločnosťou Fuxnet. Namiesto toho sa predpokladá, že malvér sa zameral na približne 500 brán senzorov, ktoré uľahčujú komunikáciu so senzormi cez sériovú zbernicu, ako je RS485/Meter-Bus, ako uvádza Blackjack. Tieto brány sú tiež pripojené k internetu na prenos údajov do globálneho monitorovacieho systému spoločnosti.
Ak by boli brány ohrozené, opravy by sa mohli ukázať ako rozsiahle, vzhľadom na ich geografické rozptýlenie po Moskve a jej okrajoch. Každé zariadenie by vyžadovalo buď výmenu, alebo individuálne preflashovanie firmvéru.
Analýza Fuxnetu naznačuje vzdialené nasadenie malvéru. Po infiltrácii spustí vymazanie dôležitých súborov a adresárov, zakáže služby vzdialeného prístupu, aby zmaril pokusy o obnovenie, a vymaže údaje smerovacej tabuľky, aby zabránil komunikácii medzi zariadeniami. Následne Fuxnet vymaže súborový systém a prepíše flash pamäť zariadenia.
Po poškodení systému súborov a zablokovaní prístupu k zariadeniu sa malvér snaží fyzicky poškodiť pamäťový čip NAND a potom prepíše zväzok UBI, aby zabránil reštartu. Okrem toho sa snaží narušiť senzory pripojené k bráne zaplavením sériových kanálov náhodnými údajmi s cieľom zahltiť sériovú zbernicu aj senzory.
Výskumníci predpokladajú, že malvér Fuxnet mohol infikovať brány senzorov
Operácia škodlivého softvéru opakovane pridáva ľubovoľné údaje do kanála Meter-Bus. Táto akcia bráni prenosu a prijímaniu údajov medzi snímačmi a bránou snímača, čím sa získavanie údajov snímača stáva neúčinným. Napriek tvrdeniu útočníkov o ohrození 87 000 zariadení sa teda zdá praktickejšie, že sa im podarilo infikovať brány senzorov. Ich následné zaplavenie kanála Meter-Bus, podobné fuzzovaniu siete, malo za cieľ ďalej narušiť prepojené senzorové zariadenia. V dôsledku toho sa zdá, že iba brány snímačov boli nefunkčné, takže koncové snímače zostali nedotknuté.
