Фукнет ИЦС малвер
Истраживачи безбедности информација су недавно анализирали Фукнет, облик малвера који циља на индустријске системе контроле (ИЦС), који су украјински хакери применили у недавном нападу на руску подземну инфраструктурну фирму.
Хакерски колектив Блацкјацк, наводно повезан са безбедносним апаратом Украјине, преузео је одговорност за покретање напада на неколико критичних руских ентитета. Њихове мете су укључивале провајдере интернет услуга (ИСП), комуналне услуге, центре података, па чак и руску војску, што је резултирало значајном штетом и извлачењем осетљивих података.
Штавише, хакери Блацкјацк-а су открили детаље у вези са наводним нападом на Мосцоллецтор, московску компанију која надгледа подземну инфраструктуру попут водовода, канализације и комуникационих система.
Преглед садржаја
Фукнет малвер се примењује у операцијама напада
Према хакерима, руска индустријска инфраструктура сензора и надзора је онемогућена. Ова инфраструктура укључује мрежни оперативни центар (НОЦ), одговоран за надгледање гаса, воде, пожарних аларма и разних других система, заједно са широком мрежом удаљених сензора и ИоТ контролера. Хакери су тврдили да су избрисали базе података, сервере е-поште, интерне системе за праћење и сервере за складиштење података.
Штавише, они су тврдили да су деактивирали 87.000 сензора, укључујући оне од виталног значаја за аеродроме, системе метроа и гасоводе. Тврдили су да су то постигли користећи Фукнет, малвер који су упоредили са моћном верзијом Стукнета , омогућавајући им да физички оштете сензорску опрему.
Хакери су изјавили да је Фукнет покренуо поплаву РС485/МБус и да је издавао 'насумичне' команде за 87.000 уграђених контролних и сензорних система. Они су истакли да су из својих акција намерно искључили болнице, аеродроме и друге цивилне циљеве.
Док је тврдње хакера тешко доказати, истраживачи су успели да анализирају Фукнет малвер на основу информација и кода које је обезбедила група Блацкјацк.
Фукнет малвер би могао да изазове озбиљне сметње
Стручњаци за сајбер безбедност истичу да су физички сензори које користи Мосцоллецтор, а који су одговорни за прикупљање података попут температуре, вероватно остали неоштећени од стране Фукнета. Уместо тога, верује се да је малвер циљао око 500 сензорских капија, који олакшавају комуникацију са сензорима преко серијске магистрале као што је РС485/Метер-Бус, као што је поменуо Блацкјацк. Ови гејтвеји су такође повезани на интернет за пренос података у глобални систем праћења компаније.
Ако капије буду угрожене, поправке би се могле показати обимним, с обзиром на њихову географску дисперзију широм Москве и њених предграђа. Сваки уређај би захтевао или замену или појединачно ажурирање фирмвера.
Анализа Фукнета сугерише даљинско постављање малвера. Једном када се инфилтрира, он иницира брисање кључних датотека и директоријума, онемогућава услуге удаљеног приступа да би спречио покушаје обнављања и брише податке табеле рутирања како би ометао комуникацију између уређаја. Након тога, Фукнет брише систем датотека и поново уписује флеш меморију уређаја.
Након оштећења система датотека и забране приступа уређају, злонамерни софтвер настоји да физички оштети НАНД меморијски чип, а затим поново пише УБИ волумен како би спречио поновно покретање. Поред тога, настоји да поремети сензоре повезане са гатеваи-ом тако што преплави серијске канале насумичним подацима, са циљем да преплави и серијску магистралу и сензоре.
Истраживачи спекулишу да је Фукнет малвер можда инфицирао сензорске капије
Операција злонамерног софтвера више пута додаје произвољне податке каналу Метер-Бус. Ова радња омета пренос и пријем података између сензора и сензорског гејтвеја, чинећи прикупљање података сензора неефикасним. Стога, упркос тврдњама нападача да су компромитовали 87.000 уређаја, изгледа практичније да су успели да заразе сензорске капије. Њихово накнадно преплављивање канала Метер-Бус, слично фузингу мреже, имало је за циљ да додатно поремети међуповезану сензорску опрему. Сходно томе, чини се да су само гејтвеји сензора постали неоперативни, остављајући крајње сензоре непромењеним.
