Zlonamerna programska oprema Fuxnet ICS
Raziskovalci informacijske varnosti so nedavno analizirali Fuxnet, obliko zlonamerne programske opreme, ki cilja na industrijske nadzorne sisteme (ICS), ki so jo ukrajinski hekerji uporabili v nedavnem napadu na rusko podzemno infrastrukturno podjetje.
Hekerska skupina Blackjack, domnevno povezana z ukrajinskim varnostnim aparatom, je prevzela odgovornost za napade na več kritičnih ruskih subjektov. Njihove tarče so vključevale ponudnike internetnih storitev (ISP), komunalna podjetja, podatkovne centre in celo rusko vojsko, kar je povzročilo znatno škodo in ekstrakcijo občutljivih podatkov.
Poleg tega so hekerji Blackjacka razkrili podrobnosti v zvezi z domnevnim napadom na moskovsko podjetje Moscollector, ki nadzira podzemno infrastrukturo, kot so vodovod, kanalizacija in komunikacijski sistemi.
Kazalo
Zlonamerna programska oprema Fuxnet je nameščena v operacijah napada
Po navedbah hekerjev so ruski industrijski senzorji in nadzorna infrastruktura onemogočili delovanje. Ta infrastruktura vključuje center za delovanje omrežja (NOC), ki je odgovoren za nadzor nad plinom, vodo, požarnimi alarmi in različnimi drugimi sistemi, poleg razvejanega omrežja oddaljenih senzorjev in krmilnikov IoT. Hekerji so trdili, da so izbrisali zbirke podatkov, e-poštne strežnike, notranje nadzorne sisteme in strežnike za shranjevanje podatkov.
Poleg tega so trdili, da so deaktivirali 87.000 senzorjev, vključno s tistimi, ki so ključnega pomena za letališča, podzemne sisteme in plinovode. Trdili so, da so to dosegli z uporabo Fuxneta, zlonamerne programske opreme, ki so jo primerjali z močno različico Stuxneta , ki jim je omogočila, da fizično poškodujejo senzorsko opremo.
Hekerji so izjavili, da je Fuxnet sprožil poplavo RS485/MBus in izdajal 'naključne' ukaze 87.000 vgrajenim nadzornim in senzoričnim sistemom. Poudarili so, da so iz svojega delovanja namenoma izključili bolnišnice, letališča in druge civilne cilje.
Čeprav je trditve hekerjev težko dokazati, je raziskovalcem uspelo analizirati zlonamerno programsko opremo Fuxnet na podlagi informacij in kode, ki jih je zagotovila skupina Blackjack.
Zlonamerna programska oprema Fuxnet bi lahko povzročila resne motnje
Strokovnjaki za kibernetsko varnost poudarjajo, da so fizični senzorji, ki jih uporablja Moscollector in so odgovorni za zbiranje podatkov, kot je temperatura, Fuxnet verjetno ostali nepoškodovani. Namesto tega naj bi zlonamerna programska oprema ciljala na približno 500 senzorskih prehodov, ki omogočajo komunikacijo s senzorji prek serijskega vodila, kot je RS485/Meter-Bus, kot je omenil Blackjack. Ti prehodi so tudi povezani z internetom za prenos podatkov v globalni nadzorni sistem podjetja.
Če bi bili prehodi ogroženi, bi se lahko popravila izkazala za obsežna, glede na njihovo geografsko razpršenost po Moskvi in njenem obrobju. Vsaka naprava bi zahtevala bodisi zamenjavo bodisi posamezno vdelano programsko opremo.
Analiza Fuxneta kaže na oddaljeno namestitev zlonamerne programske opreme. Ko se infiltrira, sproži brisanje ključnih datotek in imenikov, onemogoči storitve oddaljenega dostopa, da prepreči poskuse obnovitve, in izbriše podatke usmerjevalne tabele, da ovira komunikacijo med napravami. Nato Fuxnet izbriše datotečni sistem in ponovno zapiše bliskovni pomnilnik naprave.
Ko poškoduje datotečni sistem in prepreči dostop do naprave, zlonamerna programska oprema poskuša fizično poškodovati pomnilniški čip NAND in nato prepiše nosilec UBI, da prepreči ponovni zagon. Poleg tega poskuša prekiniti senzorje, povezane s prehodom, tako da zapolni serijske kanale z naključnimi podatki, s čimer želi preobremeniti tako serijsko vodilo kot senzorje.
Raziskovalci špekulirajo, da je zlonamerna programska oprema Fuxnet morda okužila prehode senzorjev
Operacija zlonamerne programske opreme vedno znova dodaja poljubne podatke v kanal Meter-Bus. To dejanje ovira prenos in sprejem podatkov med senzorji in prehodom senzorjev, zaradi česar je pridobivanje podatkov senzorjev neučinkovito. Zato se kljub trditvi napadalcev, da so ogrozili 87.000 naprav, zdi bolj praktično, da jim je uspelo okužiti senzorske prehode. Njihova kasnejša poplava kanala Meter-Bus, ki je podobna omrežnemu mehkanju, je želela še dodatno motiti medsebojno povezano senzorsko opremo. Posledično se zdi, da so samo senzorski prehodi postali nedelujoči, končni senzorji pa ostali nespremenjeni.
