Fuxnet ICS Kötü Amaçlı Yazılımı
Bilgi güvenliği araştırmacıları yakın zamanda Ukraynalı bilgisayar korsanlarının bir Rus yer altı altyapı firmasına yakın zamanda gerçekleştirdiği saldırıda kullandığı Endüstriyel Kontrol Sistemlerini (ICS) hedef alan bir tür kötü amaçlı yazılım olan Fuxnet'i analiz etti.
Ukrayna'nın güvenlik aygıtıyla bağlantılı olduğu iddia edilen bilgisayar korsanlığı topluluğu Blackjack, birçok kritik Rus kuruluşuna yönelik saldırıların sorumluluğunu üstlendi. Hedefleri arasında internet servis sağlayıcıları (ISP'ler), kamu hizmetleri, veri merkezleri ve hatta Rusya ordusu vardı; bu da ciddi hasara ve hassas verilerin çıkarılmasına neden oldu.
Üstelik Blackjack hackerları, su, kanalizasyon ve iletişim sistemleri gibi yer altı altyapısını denetleyen Moskova merkezli bir şirket olan Moscollector'a yönelik iddia edilen saldırıyla ilgili ayrıntıları açıkladı.
İçindekiler
Fuxnet Kötü Amaçlı Yazılımı Saldırı Operasyonlarında Kullanılıyor
Bilgisayar korsanlarına göre Rusya'nın endüstriyel sensör ve izleme altyapısı kullanılamaz hale getirildi. Bu altyapı, gaz, su, yangın alarmları ve diğer çeşitli sistemlerin denetlenmesinden sorumlu Ağ Operasyon Merkezi'nin (NOC) yanı sıra geniş bir uzak sensörler ve IoT denetleyicileri ağını içerir. Bilgisayar korsanları veritabanlarını, e-posta sunucularını, dahili izleme sistemlerini ve veri depolama sunucularını sildiklerini iddia etti.
Ayrıca havaalanları, metro sistemleri ve gaz boru hatları için hayati öneme sahip olanlar da dahil olmak üzere 87.000 sensörün devre dışı bırakıldığını iddia ettiler. Bunu, Stuxnet'in güçlü bir sürümüne benzettikleri bir kötü amaçlı yazılım olan Fuxnet'i kullanarak, sensör ekipmanlarına fiziksel olarak zarar vermelerine olanak tanıyarak başardıklarını iddia ettiler.
Bilgisayar korsanları, Fuxnet'in bir RS485/MBus seli başlattığını ve 87.000 gömülü kontrol ve duyu sistemine 'rastgele' komutlar verdiğini belirtti. Hastaneleri, havalimanlarını ve diğer sivil hedefleri kasıtlı olarak eylemlerinin dışında tuttuklarını vurguladılar.
Bilgisayar korsanlarının iddialarını kanıtlamak zor olsa da araştırmacılar, Blackjack grubu tarafından sağlanan bilgi ve koda dayanarak Fuxnet kötü amaçlı yazılımını analiz etmeyi başardılar.
Fuxnet Kötü Amaçlı Yazılımı Ciddi Kesintilere Neden Olabilir
Siber güvenlik uzmanları, Moscollector tarafından kullanılan ve sıcaklık gibi verilerin toplanmasından sorumlu olan fiziksel sensörlerin Fuxnet tarafından büyük olasılıkla zarar görmediğinin altını çiziyor. Bunun yerine kötü amaçlı yazılımın, Blackjack'in belirttiği gibi RS485/Meter-Bus gibi bir seri veri yolu aracılığıyla sensörlerle iletişimi kolaylaştıran yaklaşık 500 sensör ağ geçidini hedef aldığına inanılıyor. Bu ağ geçitleri aynı zamanda şirketin küresel izleme sistemine veri iletmek için internete de bağlıdır.
Geçitlerin tehlikeye atılması durumunda, Moskova ve dış mahallelerindeki coğrafi dağılım göz önüne alındığında onarımlar kapsamlı olabilir. Her cihazın ya değiştirilmesi ya da ayrı ayrı aygıt yazılımının yeniden yüklenmesi gerekir.
Fuxnet analizi, kötü amaçlı yazılımın uzaktan dağıtılmasını öneriyor. Sızıldıktan sonra önemli dosya ve dizinlerin silinmesini başlatır, geri yükleme girişimlerini engellemek için uzaktan erişim hizmetlerini devre dışı bırakır ve aygıtlar arası iletişimi engellemek için yönlendirme tablosu verilerini siler. Daha sonra Fuxnet dosya sistemini siler ve cihazın flash belleğini yeniden yazar.
Kötü amaçlı yazılım, dosya sisteminin bozulması ve cihaz erişiminin engellenmesi üzerine NAND bellek yongasına fiziksel olarak zarar vermeye çalışır ve ardından yeniden başlatmayı engellemek için UBI birimini yeniden yazar. Ek olarak, seri kanalları rastgele verilerle doldurarak ağ geçidine bağlı sensörleri bozmayı amaçlıyor ve hem seri veri yolunu hem de sensörleri bunaltmayı hedefliyor.
Araştırmacılar, Fuxnet Kötü Amaçlı Yazılımının Sensör Ağ Geçitlerine Bulaşmış Olabileceğini Düşünüyor
Kötü amaçlı yazılım işlemi, Meter-Bus kanalına sürekli olarak rastgele veriler ekler. Bu eylem, sensörler ve sensör ağ geçidi arasında veri iletimini ve alımını engelleyerek sensör verilerinin edinilmesini etkisiz hale getirir. Bu nedenle, saldırganların 87.000 cihazın güvenliğini ihlal ettiği yönündeki iddialarına rağmen, sensör ağ geçitlerine virüs bulaştırmayı başarmaları daha pratik görünüyor. Daha sonra Metre-Veriyolu kanalını ağ bulanıklaştırmaya benzer şekilde su basmaları, birbirine bağlı sensör ekipmanını daha da bozmayı amaçlıyordu. Sonuç olarak, yalnızca sensör ağ geçitlerinin çalışmaz hale getirildiği ve uç sensörlerin etkilenmediği görülüyor.
