Fuxnet ICS-Malware
Forscher für Informationssicherheit haben vor Kurzem Fuxnet analysiert, eine Form von Schadsoftware, die auf industrielle Steuerungssysteme (ICS) abzielt und die ukrainische Hacker kürzlich bei einem Angriff auf ein russisches Unternehmen für Untergrundinfrastruktur eingesetzt haben.
Das Hackerkollektiv Blackjack, das angeblich mit dem ukrainischen Sicherheitsapparat in Verbindung steht, hat die Verantwortung für Angriffe auf mehrere wichtige russische Einrichtungen übernommen. Zu ihren Zielen gehörten Internetdienstanbieter (ISPs), Versorgungsunternehmen, Datenzentren und sogar das russische Militär, was zu erheblichen Schäden und der Erpressung sensibler Daten führte.
Darüber hinaus haben Blackjack-Hacker Einzelheiten zu einem angeblichen Angriff auf Moscollector preisgegeben, ein in Moskau ansässiges Unternehmen, das unterirdische Infrastrukturen wie Wasser-, Abwasser- und Kommunikationssysteme überwacht.
Inhaltsverzeichnis
Die Fuxnet-Malware wird bei Angriffen eingesetzt
Den Hackern zufolge wurde die industrielle Sensor- und Überwachungsinfrastruktur Russlands außer Betrieb gesetzt. Zu dieser Infrastruktur gehört das Network Operation Center (NOC), das für die Überwachung von Gas, Wasser, Feueralarmen und verschiedenen anderen Systemen zuständig ist, sowie ein weitläufiges Netzwerk aus Fernsensoren und IoT-Controllern. Die Hacker behaupteten, sie hätten Datenbanken, E-Mail-Server, interne Überwachungssysteme und Datenspeicherserver gelöscht.
Darüber hinaus behaupteten sie, 87.000 Sensoren deaktiviert zu haben, darunter solche, die für Flughäfen, U-Bahn-Systeme und Gaspipelines von entscheidender Bedeutung sind. Sie behaupteten, dies mithilfe von Fuxnet erreicht zu haben, einer Malware, die sie mit einer potenten Version von Stuxnet verglichen und mit der sie Sensorausrüstung physisch beschädigen konnten.
Die Hacker gaben an, dass Fuxnet eine Flut von RS485/MBus-Angriffen ausgelöst und „zufällige“ Befehle an 87.000 eingebettete Steuerungs- und Sensorsysteme gesendet habe. Sie betonten, dass sie Krankenhäuser, Flughäfen und andere zivile Ziele bewusst von ihren Aktionen ausgeschlossen hätten.
Während die Behauptungen der Hacker schwer zu beweisen sind, gelang es den Forschern, die Fuxnet-Malware anhand von Informationen und Code zu analysieren, die von der Blackjack-Gruppe bereitgestellt wurden.
Die Fuxnet-Malware könnte schwere Störungen verursachen
Cybersicherheitsexperten betonen, dass die von Moscollector verwendeten physischen Sensoren, die für die Erfassung von Daten wie der Temperatur zuständig sind, von Fuxnet wahrscheinlich unbeschadet geblieben sind. Stattdessen soll die Malware etwa 500 Sensor-Gateways ins Visier genommen haben, die die Kommunikation mit den Sensoren über einen seriellen Bus wie RS485/Meter-Bus ermöglichen, wie von Blackjack erwähnt. Diese Gateways sind auch mit dem Internet verbunden, um Daten an das globale Überwachungssystem des Unternehmens zu übertragen.
Sollten die Gateways kompromittiert werden, könnten die Reparaturen sehr aufwändig sein, da sie über ganz Moskau und Umgebung verteilt sind. Jedes Gerät müsste entweder ausgetauscht oder die Firmware einzeln neu programmiert werden.
Die Analyse von Fuxnet deutet auf eine Remote-Bereitstellung der Malware hin. Nach der Infiltration leitet sie die Löschung wichtiger Dateien und Verzeichnisse ein, deaktiviert Remote-Zugriffsdienste, um Wiederherstellungsversuche zu vereiteln, und löscht Routing-Tabellendaten, um die Kommunikation zwischen Geräten zu behindern. Anschließend löscht Fuxnet das Dateisystem und überschreibt den Flash-Speicher des Geräts.
Nachdem das Dateisystem beschädigt und der Gerätezugriff blockiert wurde, versucht die Malware, den NAND-Speicherchip physisch zu beschädigen und dann das UBI-Volume neu zu schreiben, um einen Neustart zu verhindern. Darüber hinaus versucht sie, mit dem Gateway verbundene Sensoren zu stören, indem sie serielle Kanäle mit zufälligen Daten überflutet, um sowohl den seriellen Bus als auch die Sensoren zu überlasten.
Forscher spekulieren, dass die Fuxnet-Malware Sensor-Gateways infiziert haben könnte
Der Malware-Vorgang fügt dem Meter-Bus-Kanal wiederholt beliebige Daten hinzu. Diese Aktion behindert die Übertragung und den Empfang von Daten zwischen den Sensoren und dem Sensor-Gateway und macht die Erfassung von Sensordaten wirkungslos. Obwohl die Angreifer behaupten, 87.000 Geräte kompromittiert zu haben, scheint es daher praktikabler, dass es ihnen gelungen ist, die Sensor-Gateways zu infizieren. Ihre anschließende Überflutung des Meter-Bus-Kanals, ähnlich dem Netzwerk-Fuzzing, zielte darauf ab, die miteinander verbundenen Sensorgeräte weiter zu stören. Folglich scheint es, als seien nur die Sensor-Gateways funktionsunfähig gemacht worden, während die Endsensoren unberührt blieben.
