Software malicioso Fuxnet ICS
Investigadores de seguridad de la información analizaron recientemente Fuxnet, una forma de malware dirigido a sistemas de control industrial (ICS), que piratas informáticos ucranianos implementaron en un ataque reciente a una empresa de infraestructura subterránea rusa.
El colectivo de hackers Blackjack, supuestamente vinculado al aparato de seguridad de Ucrania, se ha atribuido la responsabilidad de lanzar ataques contra varias entidades rusas críticas. Sus objetivos incluían proveedores de servicios de Internet (ISP), servicios públicos, centros de datos e incluso el ejército ruso, lo que provocó daños sustanciales y la extracción de datos confidenciales.
Además, los piratas informáticos de Blackjack han divulgado detalles sobre un presunto ataque contra Moscollector, una empresa con sede en Moscú que supervisa la infraestructura subterránea, como los sistemas de agua, alcantarillado y comunicación.
Tabla de contenido
El malware Fuxnet se implementa en operaciones de ataque
Según los piratas informáticos, la infraestructura de vigilancia y sensores industriales de Rusia ha quedado inoperativa. Esta infraestructura incluye el Centro de Operación de Red (NOC), responsable de supervisar el gas, el agua, las alarmas contra incendios y varios otros sistemas, junto con una extensa red de sensores remotos y controladores de IoT. Los piratas informáticos afirmaron que habían destruido bases de datos, servidores de correo electrónico, sistemas de seguimiento internos y servidores de almacenamiento de datos.
Además, alegaron haber desactivado 87.000 sensores, incluidos los vitales para aeropuertos, sistemas de metro y gasoductos. Afirmaron haber logrado esto usando Fuxnet, un malware que compararon con una versión potente de Stuxnet , que les permitía dañar físicamente los equipos sensores.
Los piratas informáticos afirmaron que Fuxnet había iniciado una avalancha de RS485/MBus y estaba emitiendo comandos "aleatorios" a 87.000 sistemas sensoriales y de control integrados. Hicieron hincapié en que excluyeron deliberadamente de sus acciones hospitales, aeropuertos y otros objetivos civiles.
Si bien las afirmaciones de los piratas informáticos son difíciles de probar, los investigadores lograron analizar el malware Fuxnet basándose en la información y el código proporcionados por el grupo Blackjack.
El malware Fuxnet podría causar graves interrupciones
Los expertos en ciberseguridad destacan que los sensores físicos utilizados por Mocollector, que son responsables de recopilar datos como la temperatura, probablemente no fueron afectados por Fuxnet. En cambio, se cree que el malware se dirigió a aproximadamente 500 puertas de enlace de sensores, que facilitan la comunicación con los sensores a través de un bus serie como RS485/Meter-Bus, como menciona Blackjack. Estas puertas de enlace también están conectadas a Internet para transmitir datos al sistema de monitoreo global de la empresa.
Si las puertas de entrada se vieran comprometidas, las reparaciones podrían resultar extensas, dada su dispersión geográfica en Moscú y sus afueras. Cada dispositivo requeriría un reemplazo o una actualización del firmware individual.
El análisis de Fuxnet sugiere una implementación remota del malware. Una vez infiltrado, inicia la eliminación de archivos y directorios cruciales, desactiva los servicios de acceso remoto para frustrar los intentos de restauración y borra los datos de la tabla de enrutamiento para dificultar la comunicación entre dispositivos. Posteriormente, Fuxnet borra el sistema de archivos y reescribe la memoria flash del dispositivo.
Al corromper el sistema de archivos y bloquear el acceso al dispositivo, el malware intenta dañar físicamente el chip de memoria NAND y luego reescribe el volumen UBI para impedir el reinicio. Además, busca interrumpir los sensores vinculados a la puerta de enlace inundando los canales en serie con datos aleatorios, con el objetivo de abrumar tanto el bus en serie como los sensores.
Los investigadores especulan que el malware Fuxnet podría haber infectado las puertas de enlace de los sensores
La operación de malware agrega repetidamente datos arbitrarios al canal Meter-Bus. Esta acción obstruye la transmisión y recepción de datos entre los sensores y la puerta de enlace del sensor, lo que hace que la adquisición de datos del sensor sea ineficaz. Por lo tanto, a pesar de que los atacantes afirman haber comprometido 87.000 dispositivos, parece más práctico que hayan logrado infectar las puertas de enlace de los sensores. Su posterior inundación del canal Meter-Bus, similar a la fuzzing de la red, tenía como objetivo perturbar aún más el equipo de sensores interconectados. En consecuencia, parece que sólo las puertas de enlace de los sensores quedaron inoperables, sin afectar a los sensores finales.
