Fuxnet ICS 恶意软件

信息安全研究人员最近分析了 Fuxnet，这是一种针对工业控制系统 (ICS) 的恶意软件，乌克兰黑客在最近对俄罗斯一家地下基础设施公司的攻击中部署了该恶意软件。

据称与乌克兰安全机构有关联的黑客组织 Blackjack 声称对针对俄罗斯几家重要实体发动的攻击负责。他们的目标包括互联网服务提供商 (ISP)、公用事业、数据中心，甚至俄罗斯军方，造成了重大损失并窃取了敏感数据。

此外，Blackjack 黑客还透露了针对 Moscollector 发动攻击的具体细节，Moscollector 是一家总部位于莫斯科的公司，负责管理水、污水和通信系统等地下基础设施。

Fuxnet 恶意软件已部署到攻击行动中

据黑客称，俄罗斯的工业传感器和监控基础设施已无法运行。该基础设施包括负责监督天然气、水、火灾警报和其他各种系统的网络运营中心 (NOC)，以及庞大的远程传感器和物联网控制器网络。黑客声称他们已经摧毁了数据库、电子邮件服务器、内部监控系统和数据存储服务器。

此外，他们声称已经停用了 87,000 个传感器，包括对机场、地铁系统和天然气管道至关重要的传感器。他们声称使用 Fuxnet 实现了这一目标，Fuxnet 是一种恶意软件，他们将其比作Stuxnet的强效版本，允许他们物理损坏传感器设备。

黑客称，Fuxnet 发起了 RS485/MBus 洪流，并向 87,000 个嵌入式控制和传感系统发出“随机”命令。他们强调，他们故意将医院、机场和其他民用目标排除在行动之外。

尽管黑客的说法很难证实，但研究人员还是根据 Blackjack 组织提供的信息和代码成功分析了 Fuxnet 恶意软件。

Fuxnet 恶意软件可能造成严重破坏

网络安全专家强调，Moscollector 使用的物理传感器（负责收集温度等数据）很可能未受到 Fuxnet 的影响。相反，据信该恶意软件针对的是大约 500 个传感器网关，这些网关通过 RS485/Meter-Bus 等串行总线与传感器进行通信，正如 Blackjack 所提到的。这些网关还通过互联网连接，将数据传输到公司的全球监控系统。

一旦网关被攻破，修复工作可能非常繁重，因为它们分布在莫斯科及其郊区。每台设备都需要更换或单独刷新固件。

Fuxnet 分析表明该恶意软件是远程部署的。一旦被入侵，它会删除关键文件和目录，禁用远程访问服务以阻止恢复尝试，并擦除路由表数据以阻碍设备到设备的通信。随后，Fuxnet 会擦除文件系统并重写设备的闪存。

在破坏文件系统并禁止设备访问后，恶意软件会试图物理损坏 NAND 内存芯片，然后重写 UBI 卷以阻止重新启动。此外，它还试图通过向串行通道注入随机数据来破坏与网关相连的传感器，目的是使串行总线和传感器都超负荷。

研究人员推测 Fuxnet 恶意软件可能已感染传感器网关

恶意软件反复向 Meter-Bus 通道添加任意数据。此操作会阻碍传感器和传感器网关之间的数据传输和接收，导致传感器数据获取无效。因此，尽管攻击者声称已感染 87,000 台设备，但他们成功感染传感器网关似乎更实际。他们随后对 Meter-Bus 通道进行洪水攻击，类似于网络模糊测试，旨在进一步破坏互连的传感器设备。因此，似乎只有传感器网关无法运行，而终端传感器未受影响。