Logiciel malveillant Fuxnet ICS
Des chercheurs en sécurité de l'information ont récemment analysé Fuxnet, une forme de malware ciblant les systèmes de contrôle industriel (ICS), que des pirates informatiques ukrainiens ont déployé lors d'une récente attaque contre une entreprise d'infrastructure souterraine russe.
Le collectif de hackers Blackjack, prétendument lié à l'appareil de sécurité ukrainien, a revendiqué la responsabilité du lancement d'attaques contre plusieurs entités russes critiques. Leurs cibles comprenaient des fournisseurs de services Internet (FAI), des services publics, des centres de données et même l'armée russe, entraînant des dégâts importants et l'extraction de données sensibles.
De plus, les pirates du Blackjack ont divulgué des détails concernant une prétendue attaque contre Moscollector, une société basée à Moscou qui supervise les infrastructures souterraines telles que les systèmes d'eau, d'égouts et de communication.
Table des matières
Le logiciel malveillant Fuxnet est déployé lors d'opérations d'attaque
Selon les pirates informatiques, les infrastructures industrielles russes de détection et de surveillance sont devenues inopérantes. Cette infrastructure comprend le Network Operation Center (NOC), chargé de superviser le gaz, l'eau, les alarmes incendie et divers autres systèmes, ainsi qu'un vaste réseau de capteurs à distance et de contrôleurs IoT. Les pirates ont affirmé avoir détruit des bases de données, des serveurs de messagerie, des systèmes de surveillance internes et des serveurs de stockage de données.
En outre, ils auraient désactivé 87 000 capteurs, notamment ceux vitaux pour les aéroports, les métros et les gazoducs. Ils ont affirmé y être parvenus en utilisant Fuxnet, un malware qu'ils ont comparé à une version puissante de Stuxnet , leur permettant d'endommager physiquement les équipements de capteurs.
Les pirates ont déclaré que Fuxnet avait lancé un flot de RS485/MBus et envoyait des commandes « aléatoires » à 87 000 systèmes de contrôle et de détection intégrés. Ils ont souligné qu’ils avaient délibérément exclu de leurs actions les hôpitaux, les aéroports et autres cibles civiles.
Bien que les affirmations des pirates soient difficiles à prouver, les chercheurs ont réussi à analyser le malware Fuxnet sur la base des informations et du code fournis par le groupe Blackjack.
Le logiciel malveillant Fuxnet pourrait provoquer de graves perturbations
Les experts en cybersécurité soulignent que les capteurs physiques utilisés par Moscollector, chargés de collecter des données telles que la température, sont probablement restés indemnes par Fuxnet. Au lieu de cela, le malware aurait ciblé environ 500 passerelles de capteurs, qui facilitent la communication avec les capteurs via un bus série tel que RS485/Meter-Bus, comme mentionné par Blackjack. Ces passerelles sont également connectées à Internet pour transmettre des données au système de surveillance mondial de l'entreprise.
Si les portes d'entrée étaient compromises, les réparations pourraient s'avérer considérables, compte tenu de leur dispersion géographique à travers Moscou et sa périphérie. Chaque appareil nécessiterait soit un remplacement, soit un reflasher individuel du micrologiciel.
L'analyse de Fuxnet suggère un déploiement à distance du malware. Une fois infiltré, il lance la suppression des fichiers et répertoires cruciaux, désactive les services d’accès à distance pour contrecarrer les tentatives de restauration et efface les données de la table de routage pour entraver la communication entre appareils. Par la suite, Fuxnet efface le système de fichiers et réécrit la mémoire flash de l'appareil.
En corrompant le système de fichiers et en interdisant l'accès au périphérique, le logiciel malveillant tente d'endommager physiquement la puce mémoire NAND, puis réécrit le volume UBI pour empêcher le redémarrage. De plus, il cherche à perturber les capteurs liés à la passerelle en inondant les canaux série de données aléatoires, dans le but de submerger à la fois le bus série et les capteurs.
Les chercheurs pensent que le logiciel malveillant Fuxnet aurait pu infecter les passerelles de capteurs
L'opération malveillante ajoute à plusieurs reprises des données arbitraires au canal Meter-Bus. Cette action obstrue la transmission et la réception des données entre les capteurs et la passerelle de capteurs, rendant l'acquisition des données des capteurs inefficace. Ainsi, malgré les affirmations des attaquants selon lesquelles 87 000 appareils ont été compromis, il semble plus pratique qu'ils aient réussi à infecter les passerelles des capteurs. Leur inondation ultérieure du canal Meter-Bus, semblable à un fuzzing du réseau, visait à perturber davantage les équipements de capteurs interconnectés. Par conséquent, il semble que seules les passerelles de capteurs aient été rendues inutilisables, laissant les capteurs finaux inchangés.
