Fuxnet ICS マルウェア

情報セキュリティ研究者らは最近、産業用制御システム（ICS）を標的とするマルウェアの一種であるFuxnetを分析した。これはウクライナのハッカーがロシアの地下インフラ企業への最近の攻撃で使用したものだ。

ウクライナの安全保障機関と関係があるとされるハッカー集団「ブラックジャック」は、ロシアの重要機関数社に対する攻撃を仕掛けたと断言している。攻撃の標的にはインターネットサービスプロバイダー（ISP）、公共事業体、データセンター、さらにはロシア軍も含まれ、多大な損害と機密データの流出を引き起こした。

さらに、ブラックジャックのハッカーは、水道、下水道、通信システムなどの地下インフラを監督するモスクワに拠点を置く企業、モスコレクターに対する攻撃の疑いに関する詳細を漏らした。

Fuxnetマルウェアが攻撃活動に導入される

ハッカーらによると、ロシアの産業用センサーおよび監視インフラは機能不全に陥った。このインフラには、ガス、水道、火災警報器、その他さまざまなシステムの監視を担当するネットワークオペレーションセンター（NOC）のほか、広大なリモートセンサーおよびIoTコントローラーのネットワークが含まれる。ハッカーらは、データベース、電子メールサーバー、内部監視システム、データストレージサーバーを消去したと主張している。

さらに、彼らは空港、地下鉄、ガスパイプラインに不可欠なものを含む87,000個のセンサーを無効化したと主張した。彼らはこれを、センサー機器を物理的に破壊できる、 Stuxnetの強力なバージョンにたとえられるマルウェアであるFuxnetを使用して達成したと主張した。

ハッカーらは、Fuxnet が RS485/MBus の大量攻撃を開始し、87,000 の組み込み制御システムおよびセンサー システムに「ランダム」なコマンドを発行していたと述べた。ハッカーらは、病院、空港、その他の民間人を意図的に攻撃対象から除外したことを強調した。

ハッカーの主張を証明するのは難しいが、研究者らはブラックジャック・グループが提供した情報とコードに基づいてFuxnetマルウェアを分析することに成功した。

Fuxnetマルウェアは深刻な混乱を引き起こす可能性がある

サイバーセキュリティの専門家は、温度などのデータ収集を担う Moscollector が使用する物理センサーは Fuxnet の影響を受けなかった可能性が高いと指摘しています。代わりに、マルウェアは、Blackjack が言及したように、RS485/Meter-Bus などのシリアル バスを介してセンサーとの通信を可能にする約 500 個のセンサー ゲートウェイをターゲットにしたと考えられています。これらのゲートウェイは、同社のグローバル監視システムにデータを送信するためにインターネットにも接続されています。

ゲートウェイが侵害された場合、モスクワとその郊外に地理的に分散していることを考えると、修復は広範囲に及ぶ可能性がある。各デバイスは交換するか、個別にファームウェアをフラッシュし直す必要がある。

Fuxnet の分析から、このマルウェアはリモートで展開されることが示唆されています。侵入されると、重要なファイルとディレクトリの削除を開始し、復元を阻止するためにリモート アクセス サービスを無効にし、デバイス間の通信を妨害するためにルーティング テーブル データを消去します。その後、Fuxnet はファイル システムを消去し、デバイスのフラッシュ メモリを書き換えます。

マルウェアは、ファイルシステムを破壊し、デバイスへのアクセスを遮断した後、NAND メモリチップを物理的に破壊し、UBI ボリュームを書き換えて再起動を妨げようとします。さらに、シリアルチャネルにランダムなデータを大量に送信してゲートウェイにリンクされたセンサーを妨害し、シリアルバスとセンサーの両方を圧倒しようとします。

研究者は、Fuxnetマルウェアがセンサーゲートウェイに感染した可能性があると推測している

マルウェアの動作は、Meter-Bus チャネルに任意のデータを繰り返し追加します。この動作により、センサーとセンサー ゲートウェイ間のデータの送受信が妨げられ、センサー データの取得が無効になります。したがって、攻撃者は 87,000 台のデバイスを侵害したと主張していますが、実際にはセンサー ゲートウェイへの感染に成功したようです。その後の Meter-Bus チャネルのフラッディングは、ネットワーク ファジングに似ており、相互接続されたセンサー機器をさらに混乱させることを目的としていました。その結果、センサー ゲートウェイのみが動作不能になり、エンド センサーは影響を受けなかったようです。