Fuxnet ICS Malware
Informationssäkerhetsforskare analyserade nyligen Fuxnet, en form av skadlig programvara som riktar sig till Industrial Control Systems (ICS), som ukrainska hackare använde i en nyligen attack mot ett ryskt underjordiskt infrastrukturföretag.
Hackningskollektivet Blackjack, som påstås vara kopplat till Ukrainas säkerhetsapparat, har hävdat ansvaret för att ha inlett angrepp på flera kritiska ryska enheter. Deras mål inkluderade internetleverantörer (ISP), verktyg, datacenter och till och med Rysslands militär, vilket resulterade i betydande skada och utvinning av känslig data.
Dessutom har Blackjack-hackare avslöjat detaljer kring en påstådd strejk mot Moscollector, ett Moskvabaserat företag som övervakar underjordisk infrastruktur som vatten, avlopp och kommunikationssystem.
Innehållsförteckning
Fuxnets skadliga programvara används i attackoperationer
Enligt hackarna har Rysslands industriella sensor- och övervakningsinfrastruktur blivit ur funktion. Denna infrastruktur inkluderar Network Operation Center (NOC), ansvarig för att övervaka gas, vatten, brandlarm och olika andra system, tillsammans med ett vidsträckt nätverk av fjärrsensorer och IoT-kontroller. Hackarna hävdade att de hade raderat databaser, e-postservrar, interna övervakningssystem och datalagringsservrar.
Dessutom påstod de ha inaktiverat 87 000 sensorer, inklusive de som är viktiga för flygplatser, tunnelbanesystem och gasledningar. De påstod sig ha uppnått detta med Fuxnet, en skadlig kod som de liknade vid en potent version av Stuxnet , som gör att de kan skada sensorutrustning fysiskt.
Hackarna uppgav att Fuxnet hade initierat en flod av RS485/MBus och utfärdade "slumpmässiga" kommandon till 87 000 inbyggda kontroll- och sensorsystem. De betonade att de medvetet uteslöt sjukhus, flygplatser och andra civila mål från sina handlingar.
Medan hackarnas påståenden är utmanande att bevisa, lyckades forskare analysera Fuxnet skadlig programvara baserat på information och kod från Blackjack-gruppen.
Fuxnet Malware kan orsaka allvarliga störningar
Cybersäkerhetsexperter framhåller att de fysiska sensorerna som används av Moscollector, som är ansvariga för att samla in data som temperatur, sannolikt förblev oskadda av Fuxnet. Istället tros den skadliga programvaran ha riktat in sig på cirka 500 sensorgateways, vilket underlättar kommunikationen med sensorerna via en seriell buss som RS485/Meter-Bus, som nämnts av Blackjack. Dessa gateways är också internetanslutna för att överföra data till företagets globala övervakningssystem.
Skulle portarna äventyras kan reparationerna bli omfattande, med tanke på deras geografiska spridning över Moskva och dess utkanter. Varje enhet skulle kräva antingen en ersättning eller en individuell återflashning av firmware.
Analys av Fuxnet tyder på fjärrdistribution av skadlig programvara. När den väl har infiltrerats initierar den radering av viktiga filer och kataloger, inaktiverar fjärråtkomsttjänster för att förhindra återställningsförsök och raderar routingtabellsdata för att hindra enhet-till-enhet-kommunikation. Därefter raderar Fuxnet filsystemet och skriver om enhetens flashminne.
Efter att ha korrumperat filsystemet och blockerat enhetsåtkomst försöker skadlig programvara att fysiskt skada NAND-minneschippet och skriver sedan om UBI-volymen för att förhindra omstart. Dessutom försöker den störa sensorer kopplade till gatewayen genom att översvämma seriella kanaler med slumpmässiga data, i syfte att överväldiga både den seriella bussen och sensorerna.
Forskare spekulerar i att Fuxnet Malware kan ha infekterat sensorgateways
Skadlig programvara lägger upprepade gånger godtyckliga data till Meter-Bus-kanalen. Denna åtgärd hindrar överföring och mottagning av data mellan sensorerna och sensorgatewayen, vilket gör insamlingen av sensordata ineffektiv. Därför, trots angriparnas påstående om att kompromissa med 87 000 enheter, verkar det mer praktiskt att de hade lyckats infektera sensorns gateways. Deras efterföljande översvämning av Meter-Bus-kanalen, i likhet med nätverksfuzzing, syftade till att störa den sammankopplade sensorutrustningen ytterligare. Följaktligen verkar det bara vara sensorgateways som gjordes obrukbara, vilket lämnade slutsensorerna opåverkade.
