Fuxnet ICS 惡意軟體

資訊安全研究人員最近分析了 Fuxnet，這是一種針對工業控制系統 (ICS) 的惡意軟體，烏克蘭駭客在最近對俄羅斯一家地下基礎設施公司的攻擊中部署了該惡意軟體。

據稱與烏克蘭安全機構有聯繫的駭客組織 Blackjack 聲稱對俄羅斯幾個關鍵實體發動的攻擊負責。他們的目標包括網路服務供應商 (ISP)、公用事業公司、資料中心，甚至俄羅斯軍方，造成重大損害並竊取敏感資料。

此外，Blackjack 駭客還洩漏了據稱針對 Moscollector 的攻擊的細節，Moscollector 是一家總部位於莫斯科的公司，負責監督供水、污水處理和通訊系統等地下基礎設施。

Fuxnet惡意軟體部署在攻擊行動中

據駭客稱，俄羅斯的工業感測器和監控基礎設施已無法運作。該基礎設施包括網路營運中心 (NOC)，負責監督燃氣、水、火災警報和各種其他系統，以及龐大的遠端感測器和物聯網控制器網路。駭客聲稱他們已經摧毀了資料庫、電子郵件伺服器、內部監控系統和資料儲存伺服器。

此外，他們還聲稱已經停用了 87,000 個感測器，其中包括對機場、地鐵系統和天然氣管道至關重要的感測器。他們聲稱使用 Fuxnet 實現了這一目標，他們將這種惡意軟體比作Stuxnet的強大版本，使他們能夠對感測器設備進行物理損壞。

駭客表示，Fuxnet 發起了大量 RS485/MBus，並向 87,000 個嵌入式控制和感測系統發出「隨機」命令。他們強調，他們故意將醫院、機場和其他平民目標排除在行動之外。

雖然駭客的說法難以證明，但研究人員設法根據 Blackjack 組織提供的資訊和程式碼分析了 Fuxnet 惡意軟體。

Fuxnet 惡意軟體可能會造成嚴重中斷

網路安全專家強調，Moscollector 使用的實體感測器負責收集溫度等數據，很可能不會受到 Fuxnet 的損害。相反，據信該惡意軟體以大約 500 個感測器網關為目標，這些網關透過 RS485/Meter-Bus 等串行匯流排促進與感測器的通信，正如 Blackjack 所提到的那樣。這些網關也連接到互聯網，將資料傳輸到公司的全球監控系統。

如果這些門戶受到損害，鑑於其地理分佈在莫斯科及其郊區，維修工作可能會很廣泛。每個設備都需要更換或重新刷新單獨的韌體。

對 Fuxnet 的分析表明該惡意軟體是遠端部署的。一旦滲透，它會啟動刪除關鍵檔案和目錄，停用遠端存取服務以阻止復原嘗試，並擦除路由表資料以阻礙裝置到裝置的通訊。隨後，Fuxnet 擦除檔案系統並重寫裝置的快閃記憶體。

一旦損壞檔案系統並禁止裝置訪問，惡意軟體就會嘗試對 NAND 記憶體晶片進行物理損壞，然後重寫 UBI 磁碟區以阻止重新啟動。此外，它還試圖透過用隨機資料淹沒串行通道來破壞與網關相連的感測器，旨在淹沒串行匯流排和感測器。

研究人員推測 Fuxnet 惡意軟體可能感染了感測器網關

惡意軟體操作會重複向儀表匯流排通道新增任意資料。這一行為阻礙了感測器與感測器網關之間的資料傳輸和接收，導致感測器資料的獲取無效。因此，儘管攻擊者聲稱破壞了 87,000 台設備，但更實際的說法是他們已經成功感染了感測器網關。他們隨後對儀表總線通道進行大量攻擊，類似於網路模糊測試，旨在進一步破壞互連的感測器設備。因此，似乎只有感測器網關無法操作，終端感測器不受影響。