-
08/10/2013
-
401
-
989 bài viết
Phần mềm độc hại ICS Fuxnet mạnh hơn cả Stuxnet
Công ty an ninh mạng Claroty đã tiến hành phân tích Fuxnet, một phần mềm độc hại nhắm vào hệ thống điều khiển công nghiệp (ICS) được các hacker Ukraine sử dụng gần đây trong một cuộc tấn công nhằm vào một công ty hạ tầng ngầm (underground infrastructure) của Nga.
Trong những tháng gần đây một nhóm hacker tên là Blackjack, được cho là có liên hệ với Ukraine đã tuyên bố tiến hành các cuộc tấn công vào một số tổ chức quan trọng của Nga. Các hacker đã nhắm vào các nhà cung cấp dịch vụ Internet, tiện ích, trung tâm dữ liệu và quân đội Nga, gây ra thiệt hại đáng kể và còn đánh cắp thông tin nhạy cảm.
Tuần trước, Blackjack tiết lộ chi tiết về một cuộc tấn công nhằm vào Moscollector, một công ty có trụ sở tại Moscow chịu trách nhiệm về hạ tầng ngầm bao gồm hệ thống nước, cống và thông tin liên lạc.
“Hạ tầng cảm biến và giám sát công nghiệp của Nga đã bị vô hiệu hóa,” các hacker tuyên bố. “Bao gồm Trung tâm Vận hành Mạng (NOC) giám sát và điều khiển khí, nước, báo cháy và nhiều hệ thống khác, một mạng lưới rộng lớn các cảm biến từ xa và các bộ điều khiển IoT.”
Các hacker tuyên bố đã xóa cơ sở dữ liệu, email, máy chủ lưu trữ data và giám sát nội bộ.
Ngoài ra, họ tuyên bố đã vô hiệu hóa 87.000 cảm biến, bao gồm những cảm biến liên quan đến sân bay, hệ thống tàu điện ngầm và đường ống dẫn khí. Để đạt được điều này, họ tuyên bố đã sử dụng Fuxnet, một phần mềm độc hại mà họ mô tả là “mạnh hơn cả Stuxnet”, cho phép phá hủy thiết bị cảm biến về mặt vật lý.
“Fuxnet hiện đã bắt đầu làm ngập (flood) RS485/MBus và gửi các lệnh ‘ngẫu nhiên’ tới 87.000 hệ thống điều khiển và cảm biến nhúng (đã loại trừ các hệ thống của bệnh viện, sân bay và các mục tiêu dân sự khác),” các hacker nói.
Các tuyên bố của các hacker chưa được xác minh, nhưng Claroty đã có thể tiến hành phân tích phần mềm độc hại Fuxnet dựa trên thông tin và mã nguồn được Blackjack cung cấp.
Công ty an ninh mạng chỉ ra rằng các cảm biến thực tế được Moscollector triển khai, dùng để thu thập dữ liệu vật lý như nhiệt độ, có khả năng không bị hư hại bởi Fuxnet. Thay vào đó, phần mềm độc hại có thể đã nhắm vào khoảng 500 cổng cảm biến, giao tiếp với các cảm biến khác qua một bus nối tiếp như RS485/Meter-Bus mà Blackjack đã đề cập. Các cổng này cũng được kết nối với internet để có thể truyền dữ liệu tới hệ thống giám sát toàn cầu của công ty.
“Nếu các cổng thực sự bị hư hại, việc sửa chữa có thể rất tốn kém do các thiết bị này được phân bố rộng rãi trên toàn Moscow và các vùng ngoại ô và phải được thay thế hoặc firmware của chúng phải được nạp lại từng cái một,” Claroty nhận định.
Phân tích của Claroty về Fuxnet cho thấy phần mềm độc hại có khả năng được triển khai từ xa. Một khi đã lây vào thiết bị, nó sẽ bắt đầu xóa các tập tin và thư mục quan trọng, tắt các dịch vụ truy cập từ xa để ngăn chặn khôi phục từ xa, và xóa thông tin bảng định tuyến để ngăn chặn giao tiếp với các thiết bị khác. Fuxnet sau đó sẽ xóa hệ thống tập tin và ghi đè bộ nhớ flash của thiết bị.
Sau khi đã làm hỏng hệ thống tập tin và chặn truy cập vào thiết bị, phần mềm độc hại cố gắng phá hủy vật lý chip nhớ NAND và sau đó viết lại khối lượng UBI để ngăn chặn khởi động lại.
Ngoài ra, phần mềm độc hại cố gắng làm gián đoạn các cảm biến kết nối với cổng bằng cách làm ngập các kênh nối tiếp với dữ liệu ngẫu nhiên để làm quá tải bus nối tiếp và các cảm biến.
“Trong quá trình hoạt động của phần mềm độc hại, nó sẽ liên tục viết dữ liệu ngẫu nhiên qua kênh Meter-Bus. Điều này sẽ ngăn các cảm biến và cổng cảm biến gửi và nhận dữ liệu, làm cho việc thu thập dữ liệu cảm biến trở nên vô dụng,” Claroty giải thích.
“Do đó, mặc dù các hacker tuyên bố đã làm hỏng 87.000 thiết bị, có vẻ như họ thực sự chỉ xâm nhập được các cổng cảm biến và cố gắng gây rối thêm bằng cách làm ngập kênh Meter-Bus (kênh dùng để kết nối các cảm biến khác nhau với cổng). Kết quả là, có vẻ như chỉ các cổng cảm biến bị hỏng, chứ không phải các cảm biến đầu cuối.”
Tuần trước, Blackjack tiết lộ chi tiết về một cuộc tấn công nhằm vào Moscollector, một công ty có trụ sở tại Moscow chịu trách nhiệm về hạ tầng ngầm bao gồm hệ thống nước, cống và thông tin liên lạc.
“Hạ tầng cảm biến và giám sát công nghiệp của Nga đã bị vô hiệu hóa,” các hacker tuyên bố. “Bao gồm Trung tâm Vận hành Mạng (NOC) giám sát và điều khiển khí, nước, báo cháy và nhiều hệ thống khác, một mạng lưới rộng lớn các cảm biến từ xa và các bộ điều khiển IoT.”
Các hacker tuyên bố đã xóa cơ sở dữ liệu, email, máy chủ lưu trữ data và giám sát nội bộ.
Ngoài ra, họ tuyên bố đã vô hiệu hóa 87.000 cảm biến, bao gồm những cảm biến liên quan đến sân bay, hệ thống tàu điện ngầm và đường ống dẫn khí. Để đạt được điều này, họ tuyên bố đã sử dụng Fuxnet, một phần mềm độc hại mà họ mô tả là “mạnh hơn cả Stuxnet”, cho phép phá hủy thiết bị cảm biến về mặt vật lý.
“Fuxnet hiện đã bắt đầu làm ngập (flood) RS485/MBus và gửi các lệnh ‘ngẫu nhiên’ tới 87.000 hệ thống điều khiển và cảm biến nhúng (đã loại trừ các hệ thống của bệnh viện, sân bay và các mục tiêu dân sự khác),” các hacker nói.
Các tuyên bố của các hacker chưa được xác minh, nhưng Claroty đã có thể tiến hành phân tích phần mềm độc hại Fuxnet dựa trên thông tin và mã nguồn được Blackjack cung cấp.
Công ty an ninh mạng chỉ ra rằng các cảm biến thực tế được Moscollector triển khai, dùng để thu thập dữ liệu vật lý như nhiệt độ, có khả năng không bị hư hại bởi Fuxnet. Thay vào đó, phần mềm độc hại có thể đã nhắm vào khoảng 500 cổng cảm biến, giao tiếp với các cảm biến khác qua một bus nối tiếp như RS485/Meter-Bus mà Blackjack đã đề cập. Các cổng này cũng được kết nối với internet để có thể truyền dữ liệu tới hệ thống giám sát toàn cầu của công ty.
“Nếu các cổng thực sự bị hư hại, việc sửa chữa có thể rất tốn kém do các thiết bị này được phân bố rộng rãi trên toàn Moscow và các vùng ngoại ô và phải được thay thế hoặc firmware của chúng phải được nạp lại từng cái một,” Claroty nhận định.
Phân tích của Claroty về Fuxnet cho thấy phần mềm độc hại có khả năng được triển khai từ xa. Một khi đã lây vào thiết bị, nó sẽ bắt đầu xóa các tập tin và thư mục quan trọng, tắt các dịch vụ truy cập từ xa để ngăn chặn khôi phục từ xa, và xóa thông tin bảng định tuyến để ngăn chặn giao tiếp với các thiết bị khác. Fuxnet sau đó sẽ xóa hệ thống tập tin và ghi đè bộ nhớ flash của thiết bị.
Sau khi đã làm hỏng hệ thống tập tin và chặn truy cập vào thiết bị, phần mềm độc hại cố gắng phá hủy vật lý chip nhớ NAND và sau đó viết lại khối lượng UBI để ngăn chặn khởi động lại.
Ngoài ra, phần mềm độc hại cố gắng làm gián đoạn các cảm biến kết nối với cổng bằng cách làm ngập các kênh nối tiếp với dữ liệu ngẫu nhiên để làm quá tải bus nối tiếp và các cảm biến.
“Trong quá trình hoạt động của phần mềm độc hại, nó sẽ liên tục viết dữ liệu ngẫu nhiên qua kênh Meter-Bus. Điều này sẽ ngăn các cảm biến và cổng cảm biến gửi và nhận dữ liệu, làm cho việc thu thập dữ liệu cảm biến trở nên vô dụng,” Claroty giải thích.
“Do đó, mặc dù các hacker tuyên bố đã làm hỏng 87.000 thiết bị, có vẻ như họ thực sự chỉ xâm nhập được các cổng cảm biến và cố gắng gây rối thêm bằng cách làm ngập kênh Meter-Bus (kênh dùng để kết nối các cảm biến khác nhau với cổng). Kết quả là, có vẻ như chỉ các cổng cảm biến bị hỏng, chứ không phải các cảm biến đầu cuối.”
Theo securityweek.com
Chỉnh sửa lần cuối bởi người điều hành: