มัลแวร์ Fuxnet ICS
นักวิจัยด้านความปลอดภัยข้อมูลได้วิเคราะห์ Fuxnet ซึ่งเป็นมัลแวร์รูปแบบหนึ่งที่มุ่งเป้าไปที่ระบบควบคุมอุตสาหกรรม (ICS) ซึ่งแฮกเกอร์ชาวยูเครนนำไปใช้ในการโจมตีบริษัทโครงสร้างพื้นฐานใต้ดินของรัสเซียเมื่อเร็วๆ นี้
กลุ่มแฮ็คแบล็คแจ็คซึ่งอ้างว่าเชื่อมโยงกับเครื่องมือรักษาความปลอดภัยของยูเครนได้ยืนยันความรับผิดชอบในการโจมตีหน่วยงานรัสเซียที่สำคัญหลายแห่ง เป้าหมายของพวกเขารวมถึงผู้ให้บริการอินเทอร์เน็ต (ISP) สาธารณูปโภค ศูนย์ข้อมูล และแม้แต่กองทัพของรัสเซีย ซึ่งส่งผลให้เกิดความเสียหายอย่างมากและการดึงข้อมูลที่ละเอียดอ่อนออกมา
นอกจากนี้ แฮกเกอร์แบล็คแจ็คยังได้เปิดเผยข้อมูลเฉพาะเกี่ยวกับการประท้วง Moscollector ซึ่งเป็นบริษัทในมอสโกที่ดูแลโครงสร้างพื้นฐานใต้ดิน เช่น น้ำ น้ำเสีย และระบบสื่อสาร
สารบัญ
มัลแวร์ Fuxnet ถูกปรับใช้ในการปฏิบัติการโจมตี
ตามที่แฮกเกอร์ระบุ เซ็นเซอร์อุตสาหกรรมและโครงสร้างพื้นฐานการตรวจสอบของรัสเซียไม่ทำงาน โครงสร้างพื้นฐานนี้ประกอบด้วยศูนย์ปฏิบัติการเครือข่าย (NOC) ซึ่งรับผิดชอบในการดูแลก๊าซ น้ำ สัญญาณเตือนไฟไหม้ และระบบอื่นๆ มากมาย ควบคู่ไปกับเครือข่ายที่กว้างขวางของเซ็นเซอร์ระยะไกลและตัวควบคุม IoT แฮกเกอร์ยืนยันว่าได้ล้างฐานข้อมูล เซิร์ฟเวอร์อีเมล ระบบตรวจสอบภายใน และเซิร์ฟเวอร์จัดเก็บข้อมูลแล้ว
นอกจากนี้ พวกเขาถูกกล่าวหาว่าได้ปิดการใช้งานเซ็นเซอร์ 87,000 ตัว รวมถึงเซ็นเซอร์ที่สำคัญต่อสนามบิน ระบบรถไฟใต้ดิน และท่อส่งก๊าซ พวกเขาอ้างว่าทำสิ่งนี้ได้สำเร็จโดยใช้ Fuxnet ซึ่งเป็นมัลแวร์ที่พวกเขาเปรียบได้กับ Stuxnet เวอร์ชันที่มีศักยภาพ ทำให้พวกเขาสร้างความเสียหายให้กับอุปกรณ์เซ็นเซอร์ทางกายภาพได้
แฮกเกอร์ระบุว่า Fuxnet ได้เริ่มต้นการแพร่กระจายของ RS485/MBus และออกคำสั่ง 'สุ่ม' ไปยังระบบควบคุมและระบบรับความรู้สึกแบบฝังจำนวน 87,000 ระบบ พวกเขาเน้นย้ำว่าพวกเขาจงใจกีดกันโรงพยาบาล สนามบิน และเป้าหมายพลเรือนอื่นๆ ออกจากการกระทำของพวกเขา
แม้ว่าคำกล่าวอ้างของแฮกเกอร์นั้นท้าทายในการพิสูจน์ แต่นักวิจัยก็สามารถวิเคราะห์มัลแวร์ Fuxnet ตามข้อมูลและรหัสที่ได้รับจากกลุ่ม Blackjack
มัลแวร์ Fuxnet อาจทำให้เกิดการหยุดชะงักอย่างรุนแรง
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เน้นย้ำว่าเซ็นเซอร์ทางกายภาพที่ใช้โดย Moscollector ซึ่งมีหน้าที่รวบรวมข้อมูล เช่น อุณหภูมิ น่าจะยังไม่ได้รับอันตรายจาก Fuxnet เชื่อกันว่ามัลแวร์กำหนดเป้าหมายเกตเวย์เซ็นเซอร์ประมาณ 500 จุด ซึ่งอำนวยความสะดวกในการสื่อสารกับเซ็นเซอร์ผ่านบัสอนุกรม เช่น RS485/Meter-Bus ตามที่ Blackjack กล่าวไว้ เกตเวย์เหล่านี้ยังเชื่อมต่ออินเทอร์เน็ตเพื่อส่งข้อมูลไปยังระบบตรวจสอบทั่วโลกของบริษัท
หากเกตเวย์ถูกบุกรุก การซ่อมแซมอาจขยายวงกว้าง เนื่องจากการกระจายตัวทางภูมิศาสตร์ไปทั่วมอสโกและชานเมือง อุปกรณ์แต่ละชิ้นจะต้องมีการเปลี่ยนใหม่หรือรีเฟรชเฟิร์มแวร์แต่ละตัว
การวิเคราะห์ Fuxnet ชี้ให้เห็นถึงการติดตั้งมัลแวร์จากระยะไกล เมื่อถูกแทรกซึม มันจะเริ่มต้นการลบไฟล์และไดเร็กทอรีที่สำคัญ ปิดใช้งานบริการการเข้าถึงระยะไกลเพื่อขัดขวางความพยายามในการกู้คืน และล้างข้อมูลตารางเส้นทางเพื่อขัดขวางการสื่อสารระหว่างอุปกรณ์ ต่อจากนั้น Fuxnet จะลบระบบไฟล์และเขียนหน่วยความจำแฟลชของอุปกรณ์ใหม่
เมื่อทำให้ระบบไฟล์เสียหายและจำกัดการเข้าถึงอุปกรณ์ มัลแวร์จะพยายามสร้างความเสียหายทางกายภาพให้กับชิปหน่วยความจำ NAND จากนั้นจึงเขียนโวลุ่ม UBI ใหม่เพื่อขัดขวางการรีบูต นอกจากนี้ ยังพยายามขัดขวางเซ็นเซอร์ที่เชื่อมโยงกับเกตเวย์โดยทำให้ช่องสัญญาณอนุกรมเต็มไปด้วยข้อมูลแบบสุ่ม โดยมีเป้าหมายที่จะครอบงำทั้งบัสอนุกรมและเซ็นเซอร์
นักวิจัยคาดการณ์ว่ามัลแวร์ Fuxnet อาจติดเซ็นเซอร์เกตเวย์
การดำเนินการของมัลแวร์จะเพิ่มข้อมูลที่กำหนดเองลงในช่อง Meter-Bus ซ้ำแล้วซ้ำอีก การกระทำนี้จะขัดขวางการส่งและรับข้อมูลระหว่างเซ็นเซอร์และเกตเวย์เซ็นเซอร์ ส่งผลให้การรับข้อมูลเซ็นเซอร์ไม่มีประสิทธิภาพ ดังนั้น แม้ว่าผู้โจมตีจะอ้างว่าสามารถโจมตีอุปกรณ์ได้ถึง 87,000 เครื่อง แต่ดูเหมือนว่าพวกเขาจะประสบความสำเร็จในการแพร่เชื้อไปยังเกตเวย์เซ็นเซอร์ได้สำเร็จ น้ำท่วมช่อง Meter-Bus ในเวลาต่อมา ซึ่งคล้ายกับการคลุมเครือของเครือข่าย โดยมีจุดมุ่งหมายเพื่อรบกวนอุปกรณ์เซ็นเซอร์ที่เชื่อมต่อถึงกันต่อไป ด้วยเหตุนี้ ดูเหมือนว่ามีเพียงเกตเวย์เซ็นเซอร์เท่านั้นที่ไม่สามารถใช้งานได้ ส่งผลให้เซ็นเซอร์ปลายทางไม่ได้รับผลกระทบใดๆ
