传感器攻击来了！乌克兰使用破坏性ICS恶意软件Fuxnet攻击俄罗斯基础设施

综合4月15日SecurityWeek和Claroty博文的消息，据信隶属于乌克兰安全部门的一个名为Blackjack的黑客组织声称对俄罗斯多个重要组织发起了攻击。黑客以互联网服务提供商、公用事业公司、数据中心和俄罗斯军方为目标，据称造成了重大损害并泄露了敏感信息。以色列网络安全公司Claroty旗下的Team82研究团队在4月12日的博客文章中表示他们无法证实攻击者的说法，也无法证实网络攻击是否对俄罗斯政府的应急响应能力产生了影响。4月15日Team82更新了博文称，他们的博客发布后，Blackjack黑客组织联系了Team82，并提供了一些更新消息和证据，以证明他们的攻击和影响后果是真实的。

事件概述

上周，Blackjack披露了针对Moscollector的涉嫌攻击的细节，Moscollector是一家总部位于莫斯科的公司，负责供水、污水处理和通信系统等地下基础设施。

“俄罗斯的工业传感器和监控基础设施已被禁用，”黑客声称。“它包括俄罗斯的网络运营中心(NOC)，该中心监视和控制天然气、水、火灾报警器和许多其他设备，包括庞大的远程传感器和物联网控制器网络。”

黑客声称已经清除了数据库、电子邮件、内部监控和数据存储服务器。此外，他们还声称已经禁用了87,000个传感器，其中包括与机场、地铁系统和天然气管道相关的传感器。为了实现这一目标，他们声称使用了Fuxnet，这是一种被他们称为“类固醇震网”的恶意软件，这使得他们能够物理破坏传感器设备。

“Fuxnet现在已开始淹没RS485/MBus，并向87,000个嵌入式控制和传感系统发送‘随机’命令（小心排除医院、机场和其他民用目标），”黑客表示。

以色列网络安全公司Claroty旗下的Team82研究团队在4月12日的博客文章中写道：“Team82和Claroty无法证实攻击者的说法，也无法证实网络攻击是否对俄罗斯政府的应急响应能力产生了影响。

此后，Team82在4月15日更新了博文称，他们的博客发布后，Blackjack黑客组织联系了Team82，并提供了一些更新，特别是围绕Team82的论点（基于Team82对Blackjack发布的公开信息进行的初步研究），即只有大约500 个传感器网关受到网络攻击的影响。Blackjack表示，其公开的JSON文件只是其全部活动的一个样本，攻击是针对2,659个传感器网关进行的，其中约1,700个“可访问并成功受到攻击”。该组织还表示，它从未声称已摧毁了87,000个传感器，而是通过摧毁网关并使用恶意软件代码中的专用M-Bus模糊器对传感器进行模糊测试来禁用它们。

攻击者发布的“战果”

黑客在ruexfil网站上公开发布了有关他们针对Moscollector的活动的信息。

Team82的初步分析

Team82根据攻击者共享的信息对Fuxnet恶意软件和Blackjack提出的声明进行的分析。

例如，Blackjack声称已损坏或摧毁了87,000个远程传感器和物联网收集器。“然而，Team82对Blackjack泄露的数据（包括Fuxnet恶意软件）的分析表明，只有略多于500个的传感器网关被攻击中的恶意软件破坏，远程传感器和控制器可能完好无损。如果网关确实损坏，考虑到这些设备分布在莫斯科及其郊区，维修工作可能会很广泛，并且必须更换，或者必须单独重新刷新固件。”

Blackjack声称其对Moscollector的首次入侵始于2023年6月，该组织表示，自那时以来，该组织一直在缓慢行动，试图削弱该公司管理的工业传感器和监控基础设施。周二（4月9日），黑客公开发布了有关他们针对Moscollector的活动的信息以及在‘ruexfil’网站攻击中被盗的信息道。

攻击者的一些主张包括获得俄罗斯112紧急服务电话号码；对关键基础设施（包括机场、地铁、天然气管道）中的传感器和控制器进行黑客攻击和破坏，所有这些都已被禁用；分享攻击中使用的Fuxnet恶意软件的详细信息和代码；并禁用路由器和防火墙等网络设备。其他索赔包括删除服务器、工作站和数据库；30TB数据已被擦除，包括备份驱动器；禁止进入Moscollector办公楼（所有钥匙卡均已失效）；并从多个内部服务转储密码。

Team82发现，攻击者发布的屏幕截图表明受影响的传感器是由一家名为AO SBK的公司制造的，这是一家俄罗斯公司，生产各种类型的传感器，从气体测量传感器到环境监测设备。传感器阵列用于不同类型的环境，包括火灾报警器、气体监测系统、照明控制等。传感器收集温度等物理数据，并通过RS485/Meter-Bus等串行/总线将其传输到网关。所有传感器都连接到网关，网关是一个传输单元，可以通过互联网将遥测数据发送到全球监控系统，从而使操作员能够了解这些系统。

根据攻击者泄露的数据（包括截图和JSON导出），攻击期间有两种类型的AO SBK网关被黑客入侵。它们包括MPSB，旨在通过各种接口与外部设备进行信息交换，并支持以太网和串行通信协议，包括CAN、RS-232和RS-485；和TMSB，与MPSB类似；包括一个内置3/4G调制解调器，使其能够通过互联网将数据传输到远程系统。最终目标是将数据传输到全球监控系统。

Blackjack据称对Moscollector进行了攻击，Moscollector是莫斯科及其他地区民用基础设施的主要提供商，其对紧急检测和响应能力的影响除了该黑客组织泄露的信息和乌克兰媒体发布的报道外无法得到证实。

Team82对攻击中已发布信息（包括Fuxnet恶意软件）的分析表明，了解对Moscollector运营和管理的这些服务至关重要的连接设备。

攻击者开发并部署了针对网关的恶意软件，删除了文件系统、目录、禁用了远程访问服务、每个设备的路由服务，并重写了闪存、破坏了NAND存储芯片、UBI卷以及其他进一步扰乱这些设备运行的行为。

定制的Fuxnet恶意软件

Team82对类震网恶意软件Fuxnet的分析至少证实了如下基本事实。

1、定制恶意软件Fuxnet首先是数据擦除；攻击者定制开发了破坏Moscollector网络运营中心的Fuxnet恶意软件。Claroty对 Fuxnet的分析表明，该恶意软件很可能是远程部署的。一旦进入设备，它将开始删除重要文件和目录，关闭远程访问服务以防止远程恢复，并删除路由表信息以防止与其他设备通信。然后，Fuxnet将删除文件系统并重写设备的闪存。攻击者还发布了监控系统、服务器和数据库的屏幕截图，他们称这些系统、服务器和数据库已被擦除并变得无法使用。

2、Fuxnet恶意软件的效用还不仅仅是数据擦除；恶意软件还试图通过用随机数据淹没串行通道来破坏连接到网关的传感器，从而使串行总线和传感器过载。恶意软件操作期间，它会通过仪表总线通道重复写入任意数据。这将阻止传感器和传感器网关发送和接收数据，从而使传感器数据采集变得毫无用处。

3、Blackjack在其恶意软件中实施了两种M-Bus模糊测试方法：结构化模糊测试和随机模糊测试。这表明其真正目标不仅仅是破坏总线通道，而是希望触发现有的未被发现的漏洞并破坏传感器本身。

PLC攻击，PLC投毒，RTU勒索，传感器攻击，工业控制系统安全已进入真正的底层0级网络的对抗。

参考资源

1、https://www.securityweek.com/destructive-ics-malware-fuxnet-used-by-ukraine-against-russian-infrastructure/

2、https://industrialcyber.co/ransomware/clarotys-team82-details-cyber-attack-by-blackjack-hackers-on-moscows-emergency-detection-systems/

3、https://claroty.com/team82/research/unpacking-the-blackjack-groups-fuxnet-malware

4、https://ruexfil.com/mos/