Fuxnet ICS Malware
Sinuri kamakailan ng mga mananaliksik sa seguridad ng impormasyon ang Fuxnet, isang uri ng malware na nagta-target sa Industrial Control Systems (ICS), na idineploy ng mga hacker ng Ukrainian sa kamakailang pag-atake sa isang underground infrastructure firm ng Russia.
Ang hacking collective Blackjack, na sinasabing nauugnay sa security apparatus ng Ukraine, ay nagpahayag ng responsibilidad para sa paglulunsad ng mga pag-atake sa ilang kritikal na entidad ng Russia. Kasama sa kanilang mga target ang mga internet service provider (ISP), utility, data center, at maging ang militar ng Russia, na nagreresulta sa malaking pinsala at pagkuha ng sensitibong data.
Bukod dito, ang mga hacker ng Blackjack ay nagpahayag ng mga detalye tungkol sa isang di-umano'y welga laban sa Moscollector, isang kumpanyang nakabase sa Moscow na nangangasiwa sa imprastraktura sa ilalim ng lupa tulad ng tubig, dumi sa alkantarilya, at mga sistema ng komunikasyon.
Talaan ng mga Nilalaman
Ang Fuxnet Malware ay Deployed sa Attack Operations
Ayon sa mga hacker, ang pang-industriya na sensor at imprastraktura ng pagsubaybay ng Russia ay ginawang hindi gumagana. Kasama sa imprastraktura na ito ang Network Operation Center (NOC), na responsable para sa pangangasiwa sa gas, tubig, mga alarma sa sunog, at iba't ibang mga sistema, kasama ang malawak na network ng mga malalayong sensor at mga controller ng IoT. Iginiit ng mga hacker na nabura nila ang mga database, email server, internal monitoring system at data storage server.
Higit pa rito, diumano'y na-deactivate nila ang 87,000 sensor, kabilang ang mga mahalaga sa mga paliparan, subway system, at mga pipeline ng gas. Inangkin nila na nakamit nila ito gamit ang Fuxnet, isang malware na inihalintulad nila sa isang makapangyarihang bersyon ng Stuxnet , na nagpapahintulot sa kanila na pisikal na makapinsala sa kagamitan ng sensor.
Ang mga hacker ay nagpahayag na ang Fuxnet ay nagpasimula ng isang baha ng RS485/MBus at nag-isyu ng 'random' na mga utos sa 87,000 naka-embed na kontrol at mga sensory system. Binigyang-diin nila na sadyang hindi nila isinasama ang mga ospital, paliparan at iba pang target ng sibilyan sa kanilang mga aksyon.
Bagama't mahirap patunayan ang mga claim ng mga hacker, nagawa ng mga mananaliksik na suriin ang Fuxnet malware batay sa impormasyon at code na ibinigay ng grupong Blackjack.
Ang Fuxnet Malware ay maaaring Magdulot ng Matinding Pagkagambala
Binibigyang-diin ng mga eksperto sa cybersecurity na ang mga pisikal na sensor na ginagamit ng Moscollector, na responsable sa pangangalap ng data tulad ng temperatura, ay malamang na nanatiling hindi nasaktan ng Fuxnet. Sa halip, pinaniniwalaan na ang malware ay nag-target ng humigit-kumulang 500 sensor gateway, na nagpapadali sa komunikasyon sa mga sensor sa pamamagitan ng serial bus tulad ng RS485/Meter-Bus, gaya ng binanggit ng Blackjack. Ang mga gateway na ito ay konektado din sa internet upang magpadala ng data sa pandaigdigang sistema ng pagsubaybay ng kumpanya.
Kung makompromiso ang mga gateway, maaaring maging malawak ang pag-aayos, dahil sa kanilang heograpikal na pagkakalat sa Moscow at sa labas nito. Ang bawat aparato ay mangangailangan ng alinman sa isang kapalit o indibidwal na pag-reflash ng firmware.
Ang pagsusuri sa Fuxnet ay nagmumungkahi ng malayuang pag-deploy ng malware. Kapag na-infiltrate, sinisimulan nito ang pagtanggal ng mga mahahalagang file at direktoryo, hindi pinapagana ang mga serbisyo ng malayuang pag-access upang hadlangan ang mga pagtatangka sa pagpapanumbalik, at pinupunasan ang data ng pagruruta ng talahanayan upang hadlangan ang komunikasyon ng device-to-device. Kasunod nito, binubura ng Fuxnet ang file system at muling isinusulat ang flash memory ng device.
Sa pagsira sa file system at pagbabawal sa pag-access ng device, ang malware ay nagsusumikap na pisikal na sirain ang NAND memory chip at pagkatapos ay muling isusulat ang dami ng UBI upang hadlangan ang pag-reboot. Bukod pa rito, hinahangad nitong guluhin ang mga sensor na naka-link sa gateway sa pamamagitan ng pagbaha sa mga serial channel na may random na data, na naglalayong puspusin ang serial bus at ang mga sensor.
Ipinapalagay ng mga mananaliksik na ang Fuxnet Malware ay maaaring May Mga Infected na Sensor Gateway
Ang pagpapatakbo ng malware ay paulit-ulit na nagdaragdag ng arbitrary na data sa channel ng Meter-Bus. Pinipigilan ng pagkilos na ito ang pagpapadala at pagtanggap ng data sa pagitan ng mga sensor at ng gateway ng sensor, na ginagawang hindi epektibo ang pagkuha ng data ng sensor. Kaya naman, sa kabila ng pag-aangkin ng mga umaatake na nakompromiso ang 87,000 device, mukhang mas praktikal na nagtagumpay sila sa pag-infect sa mga gateway ng sensor. Ang kanilang kasunod na pagbaha sa Meter-Bus channel, na katulad ng network fuzzing, ay naglalayong mas guluhin ang magkakaugnay na kagamitan ng sensor. Dahil dito, tila ang mga gateway ng sensor lamang ang na-render na hindi gumagana, na iniiwan ang mga end-sensor na hindi naapektuhan.
