乌克兰使用破坏性 ICS 恶意软件Fuxnet攻击俄罗斯基础设施

关键词

工业和企业物联网网络安全公司 Claroty 对 Fuxnet 进行了分析，Fuxnet 是乌克兰黑客最近在针对俄罗斯地下基础设施公司的攻击中使用的一款工业控制系统 (ICS) 恶意软件。

近几个月来，据信隶属于乌克兰安全部门的一个名为 Blackjack 的黑客组织声称对俄罗斯多个重要组织发起了攻击。黑客以互联网服务提供商、公用事业公司、数据中心和俄罗斯军方为目标，据称造成了重大损害并泄露了敏感信息。

上周，Blackjack 披露了针对 Moscollector 涉嫌攻击的细节，Moscollector 是一家总部位于莫斯科的公司，负责供水、污水处理和通信系统等地下基础设施。

“俄罗斯的工业传感器和监控基础设施已被禁用，”黑客声称，“它包括俄罗斯的网络运营中心 (NOC)，该中心监视和控制天然气、水、火灾报警器和许多其他设备，包括庞大的远程传感器和物联网控制器网络。”

黑客声称已经清除了数据库、电子邮件、内部监控和数据存储服务器。

此外，他们还声称已经禁用了 87,000 个传感器，其中包括与机场、地铁系统和天然气管道相关的传感器。为了实现这一目标，他们使用了 Fuxnet，这是一种被他们称为“类固醇震网”的恶意软件，这使得他们能够物理破坏传感器设备。

黑客的说法很难核实，但 Claroty 能够根据 Blackjack 提供的信息和代码对 Fuxnet 恶意软件进行分析。

该网络安全公司指出，Moscollector 部署的用于收集温度等物理数据的实际传感器很可能没有被 Fuxnet 损坏。相反，该恶意软件可能针对大约 500 个传感器网关，这些网关通过串行总线（例如 Blackjack 提到的 RS485/Meter-Bus）与传感器进行通信。这些网关还连接到互联网，能够将数据传输到公司的全球监控系统。

Claroty 对 Fuxnet 的分析表明，该恶意软件很可能是远程部署的。一旦进入设备，它将删除重要文件和目录，关闭远程访问服务以防止远程恢复，并删除路由表信息以防止与其他设备通信。然后，Fuxnet 将删除文件系统并重写设备的闪存。

一旦损坏了文件系统并阻止了对设备的访问，恶意软件就会尝试物理破坏 NAND 存储芯片，然后重写 UBI 卷以防止重新启动。

此外，恶意软件还试图通过用随机数据淹没串行通道来破坏连接到网关的传感器，从而使串行总线和传感器过载。