Złośliwe oprogramowanie Fuxnet ICS wdrożone przez ukraińskie służby bezpieczeństwa przeciwko Rosji
Claroty, firma zajmująca się bezpieczeństwem cybernetycznym, specjalizująca się w IoT dla przemysłu i przedsiębiorstw, przeanalizowała Fuxnet, rodzaj złośliwego oprogramowania wykorzystywanego przez ukraińskich hakerów w ataku na rosyjską firmę infrastrukturalną. Atak ten, przypisywany grupie hakerów o nazwie Blackjack, powiązanej z ukraińskimi służbami bezpieczeństwa, był wymierzony w różne rosyjskie organizacje, w tym dostawców usług internetowych, zakłady użyteczności publicznej, centra danych i wojsko, powodując znaczne szkody i kradnąc wrażliwe dane.
Blackjack ujawnił rzekomy atak na Moscollector, moskiewską firmę zarządzającą podziemną infrastrukturą, taką jak systemy wodociągowe i komunikacyjne. Twierdzili, że wyłączyli rosyjską infrastrukturę monitoringu przemysłowego, w tym Centrum Operacji Sieci (NOC) odpowiedzialne za nadzór m.in. nad systemami gazu, wody i sygnalizacji pożaru.
Hakerzy twierdzili, że wyczyścili bazy danych i serwery oraz wyłączyli tysiące czujników, w tym te na lotniskach i w gazociągach, przy użyciu szkodliwego oprogramowania o nazwie Fuxnet, opisywanego jako potężna wersja Stuxneta.
Złośliwe oprogramowanie wykorzystywane przeciwko macierzom czujników
Claroty, choć nie był w stanie zweryfikować twierdzeń hakerów, przeanalizował szkodliwe oprogramowanie Fuxnet w oparciu o informacje dostarczone przez Blackjacka. Zauważyli, że same czujniki fizyczne prawdopodobnie nie uległy uszkodzeniu, ale złośliwe oprogramowanie atakowało około 500 bram czujników, kluczowych dla przesyłania danych do systemu monitorowania Moscollector. Naprawa tych bram, rozproszonych po Moskwie i jej przedmieściach, może być wyzwaniem i obejmować wymianę lub indywidualne aktualizacje oprogramowania sprzętowego.
Analiza Claroty'ego wykazała, że Fuxnet został prawdopodobnie wdrożony zdalnie, powodując rozległe szkody w postaci usunięcia plików, wyłączenia usług zdalnego dostępu i zakłócenia komunikacji z innymi urządzeniami. Szkodnik próbował także fizycznie zniszczyć układy pamięci i czujniki przeciążenia, zalewając kanały szeregowe losowymi danymi.