Шкідливе програмне забезпечення Fuxnet ICS
Дослідники інформаційної безпеки нещодавно проаналізували Fuxnet, різновид шкідливого програмного забезпечення, націленого на Industrial Control Systems (ICS), яке українські хакери застосували під час нещодавнього нападу на російську підпільну інфраструктурну компанію.
Хакерський колектив Blackjack, імовірно пов'язаний з українським апаратом безпеки, взяв на себе відповідальність за напади на кілька критично важливих російських організацій. Їх цілями були інтернет-провайдери (ISP), комунальні послуги, центри обробки даних і навіть російські війська, що призвело до значної шкоди та вилучення конфіденційних даних.
Крім того, хакери Blackjack оприлюднили деталі передбачуваного удару по московській компанії Moscollector, яка контролює підземну інфраструктуру, таку як системи водопостачання, каналізації та зв’язку.
Зміст
Зловмисне програмне забезпечення Fuxnet розгортається під час операцій атаки
За словами хакерів, російська промислова інфраструктура датчиків і моніторингу була виведена з ладу. Ця інфраструктура включає мережевий операційний центр (NOC), який відповідає за нагляд за газом, водою, пожежною сигналізацією та різними іншими системами, а також розгалужену мережу віддалених датчиків і контролерів Інтернету речей. Хакери стверджували, що вони знищили бази даних, сервери електронної пошти, внутрішні системи моніторингу та сервери зберігання даних.
Крім того, вони стверджували, що дезактивували 87 000 датчиків, у тому числі життєво важливі для аеропортів, систем метро та газопроводів. Вони стверджували, що досягли цього за допомогою Fuxnet, шкідливого програмного забезпечення, яке вони порівняли з потужною версією Stuxnet , що дозволяє їм фізично пошкоджувати сенсорне обладнання.
Хакери заявили, що Fuxnet ініціював потік RS485/MBus і надсилав «випадкові» команди до 87 000 вбудованих систем керування та сенсорних систем. Вони підкреслили, що свідомо виключили зі своїх дій лікарні, аеропорти та інші цивільні цілі.
Хоча заяви хакерів важко довести, дослідникам вдалося проаналізувати зловмисне програмне забезпечення Fuxnet на основі інформації та коду, наданого групою Blackjack.
Зловмисне програмне забезпечення Fuxnet може спричинити серйозні збої
Експерти з кібербезпеки підкреслюють, що фізичні датчики, які використовує Moscollector, які відповідають за збір даних, таких як температура, ймовірно, залишилися неушкодженими Fuxnet. Натомість вважається, що зловмисне програмне забезпечення було спрямоване приблизно на 500 шлюзів датчиків, які полегшують зв’язок із датчиками через послідовну шину, як-от RS485/Meter-Bus, як згадує Blackjack. Ці шлюзи також підключені до Інтернету для передачі даних у глобальну систему моніторингу компанії.
Якщо шлюзи будуть скомпрометовані, ремонт може виявитися масштабним, враховуючи їхню географічну розпорошеність по Москві та її околицях. Кожен пристрій потребує або заміни, або окремої перепрошивки прошивки.
Аналіз Fuxnet припускає віддалене розгортання шкідливого ПЗ. Після проникнення він ініціює видалення важливих файлів і каталогів, вимикає служби віддаленого доступу, щоб перешкодити спробам відновлення, і стирає дані таблиці маршрутизації, щоб перешкодити зв’язку між пристроями. Згодом Fuxnet стирає файлову систему та перезаписує флеш-пам’ять пристрою.
Після пошкодження файлової системи та блокування доступу до пристрою зловмисне програмне забезпечення намагається фізично пошкодити чіп пам’яті NAND, а потім перезаписує том UBI, щоб перешкодити перезавантаженню. Крім того, він намагається порушити роботу датчиків, пов’язаних зі шлюзом, заповнивши послідовні канали випадковими даними, щоб перевантажити як послідовну шину, так і датчики.
Дослідники припускають, що зловмисне програмне забезпечення Fuxnet могло заразити сенсорні шлюзи
Операція зловмисного програмного забезпечення неодноразово додає довільні дані до каналу Meter-Bus. Ця дія перешкоджає передачі та прийому даних між датчиками та шлюзом датчиків, що робить отримання даних датчиків неефективним. Отже, незважаючи на заяву зловмисників про скомпрометацію 87 000 пристроїв, здається більш практичним, що їм вдалося заразити шлюзи датчиків. Їхнє подальше затоплення каналу Meter-Bus, схоже на розмитість мережі, мало на меті ще більше порушити взаємопов’язане сенсорне обладнання. Отже, здається, що лише шлюзи датчиків були виведені з ладу, а кінцеві датчики не постраждали.
