Phần mềm độc hại Fuxnet ICS

Các nhà nghiên cứu bảo mật thông tin gần đây đã phân tích Fuxnet, một dạng phần mềm độc hại nhắm vào Hệ thống kiểm soát công nghiệp (ICS), mà tin tặc Ukraine đã triển khai trong một cuộc tấn công gần đây vào một công ty cơ sở hạ tầng ngầm của Nga.

Tập thể hack Blackjack, được cho là có liên quan đến bộ máy an ninh của Ukraine, đã khẳng định chịu trách nhiệm tiến hành các cuộc tấn công vào một số thực thể quan trọng của Nga. Mục tiêu của họ bao gồm các nhà cung cấp dịch vụ internet (ISP), tiện ích, trung tâm dữ liệu và thậm chí cả quân đội Nga, dẫn đến thiệt hại đáng kể và trích xuất dữ liệu nhạy cảm.

Hơn nữa, tin tặc Blackjack đã tiết lộ thông tin cụ thể liên quan đến cuộc tấn công được cho là nhằm vào Moscollector, một công ty có trụ sở tại Moscow giám sát cơ sở hạ tầng ngầm như nước, nước thải và hệ thống thông tin liên lạc.

Phần mềm độc hại Fuxnet được triển khai trong các hoạt động tấn công

Theo các tin tặc, cơ sở hạ tầng giám sát và cảm biến công nghiệp của Nga đã không hoạt động. Cơ sở hạ tầng này bao gồm Trung tâm điều hành mạng (NOC), chịu trách nhiệm giám sát khí đốt, nước, báo cháy và nhiều hệ thống khác, cùng với mạng lưới cảm biến từ xa và bộ điều khiển IoT. Các hacker khẳng định đã xóa sạch cơ sở dữ liệu, máy chủ email, hệ thống giám sát nội bộ và máy chủ lưu trữ dữ liệu.

Hơn nữa, họ còn bị cáo buộc đã vô hiệu hóa 87.000 cảm biến, bao gồm cả những cảm biến quan trọng đối với sân bay, hệ thống tàu điện ngầm và đường ống dẫn khí đốt. Họ tuyên bố đã đạt được điều này bằng cách sử dụng Fuxnet, một phần mềm độc hại mà họ ví như một phiên bản mạnh mẽ của Stuxnet , cho phép chúng phá hủy thiết bị cảm biến về mặt vật lý.

Các tin tặc tuyên bố rằng Fuxnet đã tạo ra một loạt RS485/MBus và đang phát hành các lệnh 'ngẫu nhiên' tới 87.000 hệ thống cảm biến và điều khiển nhúng. Họ nhấn mạnh rằng họ đã cố tình loại trừ các bệnh viện, sân bay và các mục tiêu dân sự khác khỏi hành động của mình.

Trong khi những tuyên bố của tin tặc rất khó chứng minh, các nhà nghiên cứu đã cố gắng phân tích phần mềm độc hại Fuxnet dựa trên thông tin và mã do nhóm Blackjack cung cấp.

Phần mềm độc hại Fuxnet có thể gây ra sự gián đoạn nghiêm trọng

Các chuyên gia an ninh mạng nhấn mạnh rằng các cảm biến vật lý được Moscollector sử dụng, chịu trách nhiệm thu thập dữ liệu như nhiệt độ, có thể vẫn không bị Fuxnet làm tổn thương. Thay vào đó, phần mềm độc hại được cho là đã nhắm mục tiêu vào khoảng 500 cổng cảm biến, tạo điều kiện giao tiếp với các cảm biến thông qua một bus nối tiếp như RS485/Meter-Bus, như Blackjack đã đề cập. Các cổng này cũng được kết nối internet để truyền dữ liệu đến hệ thống giám sát toàn cầu của công ty.

Nếu các cổng bị tổn hại, việc sửa chữa có thể sẽ diễn ra trên diện rộng do sự phân tán về mặt địa lý trên khắp Moscow và vùng ngoại ô. Mỗi thiết bị sẽ yêu cầu thay thế hoặc khởi động lại chương trình cơ sở riêng lẻ.

Phân tích của Fuxnet gợi ý việc triển khai phần mềm độc hại từ xa. Sau khi xâm nhập, nó sẽ bắt đầu xóa các tệp và thư mục quan trọng, vô hiệu hóa các dịch vụ truy cập từ xa để cản trở các nỗ lực khôi phục và xóa dữ liệu bảng định tuyến để cản trở giao tiếp giữa các thiết bị. Sau đó, Fuxnet xóa hệ thống tập tin và ghi lại bộ nhớ flash của thiết bị.

Khi làm hỏng hệ thống tệp và chặn quyền truy cập của thiết bị, phần mềm độc hại sẽ cố gắng làm hỏng chip bộ nhớ NAND về mặt vật lý và sau đó ghi lại ổ đĩa UBI để cản trở việc khởi động lại. Ngoài ra, nó tìm cách phá vỡ các cảm biến được liên kết với cổng bằng cách làm tràn các kênh nối tiếp với dữ liệu ngẫu nhiên, nhằm mục đích áp đảo cả bus nối tiếp và cảm biến.

Các nhà nghiên cứu suy đoán rằng phần mềm độc hại Fuxnet có thể đã lây nhiễm các cổng cảm biến

Hoạt động của phần mềm độc hại liên tục thêm dữ liệu tùy ý vào kênh Meter-Bus. Hành động này cản trở việc truyền và nhận dữ liệu giữa các cảm biến và cổng cảm biến, khiến việc thu thập dữ liệu cảm biến không hiệu quả. Do đó, bất chấp tuyên bố của những kẻ tấn công về việc xâm phạm 87.000 thiết bị, có vẻ thực tế hơn là chúng đã thành công trong việc lây nhiễm các cổng cảm biến. Việc làm tràn kênh Meter-Bus sau đó của họ, tương tự như việc làm mờ mạng, nhằm mục đích làm gián đoạn thêm thiết bị cảm biến được kết nối với nhau. Do đó, có vẻ như chỉ có các cổng cảm biến không hoạt động được, khiến các cảm biến cuối không bị ảnh hưởng.