Fuxnet ICS Malware
Studiuesit e sigurisë së informacionit kohët e fundit analizuan Fuxnet, një formë malware që synon Sistemet e Kontrollit Industrial (ICS), të cilin hakerët ukrainas e vendosën në një sulm të fundit ndaj një firme ruse të infrastrukturës nëntokësore.
Kolektivi i hakerëve Blackjack, që supozohet se është i lidhur me aparatin e sigurisë të Ukrainës, ka pohuar përgjegjësinë për nisjen e sulmeve ndaj disa entiteteve kritike ruse. Objektivat e tyre përfshinin ofruesit e shërbimeve të internetit (ISP), shërbimet komunale, qendrat e të dhënave dhe madje edhe ushtrinë ruse, duke rezultuar në dëme të konsiderueshme dhe nxjerrjen e të dhënave të ndjeshme.
Për më tepër, hakerat e Blackjack kanë zbuluar specifikat në lidhje me një sulm të supozuar kundër Moscollector, një kompani me bazë në Moskë që mbikëqyr infrastrukturën nëntokësore si uji, kanalizimi dhe sistemet e komunikimit.
Tabela e Përmbajtjes
Malware Fuxnet është vendosur në operacionet e sulmit
Sipas hakerëve, sensori industrial dhe infrastruktura monitoruese e Rusisë është bërë jofunksionale. Kjo infrastrukturë përfshin Qendrën e Operacionit të Rrjetit (NOC), përgjegjëse për mbikëqyrjen e alarmeve të gazit, ujit, zjarrit dhe sistemeve të tjera të ndryshme, së bashku me një rrjet të gjerë sensorësh në distancë dhe kontrollues IoT. Hakerët pohuan se kishin fshirë bazat e të dhënave, serverët e postës elektronike, sistemet e monitorimit të brendshëm dhe serverët e ruajtjes së të dhënave.
Për më tepër, ata pretenduan se kishin çaktivizuar 87,000 sensorë, përfshirë ato jetike për aeroportet, sistemet e metrosë dhe tubacionet e gazit. Ata pretenduan se e kishin arritur këtë duke përdorur Fuxnet, një malware që ata e krahasuan me një version të fuqishëm të Stuxnet , duke i lejuar ata të dëmtojnë fizikisht pajisjet e sensorëve.
Hakerët deklaruan se Fuxnet kishte nisur një vërshim të RS485/MBus dhe po lëshonte komanda 'të rastësishme' për 87,000 sisteme të integruara kontrolli dhe sensori. Ata theksuan se qëllimisht përjashtuan spitalet, aeroportet dhe objektivat e tjera civile nga veprimet e tyre.
Ndërsa pretendimet e hakerëve janë sfiduese për t'u vërtetuar, studiuesit arritën të analizojnë malware-in Fuxnet bazuar në informacionin dhe kodin e ofruar nga grupi Blackjack.
Malware Fuxnet mund të shkaktojë ndërprerje të rënda
Ekspertët e sigurisë kibernetike theksojnë se sensorët fizikë të përdorur nga Moscollector, të cilët janë përgjegjës për mbledhjen e të dhënave si temperatura, ka të ngjarë të mbeten të padëmtuara nga Fuxnet. Në vend të kësaj, malware besohet të ketë synuar afërsisht 500 porta të sensorëve, të cilat lehtësojnë komunikimin me sensorët përmes një autobusi serial si RS485/Meter-Bus, siç përmendet nga Blackjack. Këto porta janë gjithashtu të lidhura me internetin për të transmetuar të dhëna në sistemin global të monitorimit të kompanisë.
Nëse portat do të rrezikoheshin, riparimet mund të jenë të gjera, duke pasur parasysh shpërndarjen e tyre gjeografike në të gjithë Moskën dhe rrethinat e saj. Çdo pajisje do të kërkojë ose një zëvendësim ose rifreskim individual të firmuerit.
Analiza e Fuxnet sugjeron vendosjen në distancë të malware. Pasi të infiltrohet, ai fillon fshirjen e skedarëve dhe drejtorive thelbësore, çaktivizon shërbimet e aksesit në distancë për të penguar përpjekjet e restaurimit dhe fshin të dhënat e tabelës së kursit për të penguar komunikimin pajisje-pajisje. Më pas, Fuxnet fshin sistemin e skedarëve dhe rishkruan memorien flash të pajisjes.
Pas korruptimit të sistemit të skedarëve dhe ndalimit të aksesit të pajisjes, malware përpiqet të dëmtojë fizikisht çipin e memories NAND dhe më pas rishkruan volumin UBI për të penguar rindezjen. Për më tepër, ai kërkon të prishë sensorët e lidhur me portën duke përmbytur kanalet serike me të dhëna të rastësishme, duke synuar të mbingarkojë si autobusin serial ashtu edhe sensorët.
Studiuesit spekulojnë se Malware Fuxnet mund të ketë infektuar portat e sensorëve
Operacioni malware shton në mënyrë të përsëritur të dhëna arbitrare në kanalin Meter-Bus. Ky veprim pengon transmetimin dhe marrjen e të dhënave midis sensorëve dhe portës së sensorit, duke e bërë marrjen e të dhënave të sensorëve joefektive. Prandaj, pavarësisht pretendimit të sulmuesve për kompromentimin e 87,000 pajisjeve, duket më praktike që ata kishin arritur të infektonin portat e sensorëve. Përmbytja e tyre e mëvonshme e kanalit Meter-Bus, e ngjashme me turbullimin e rrjetit, synonte të prishte më tej pajisjet e ndërlidhura me sensorë. Rrjedhimisht, duket se vetëm portat e sensorëve janë bërë jofunksionale, duke lënë të paprekur sensorët fundorë.
