乌克兰使用破坏性ICS恶意软件Fuxnet（类固醇震网）攻击俄罗斯基础设施

工业和企业物联网网络安全公司 Claroty 对 Fuxnet 进行了分析，Fuxnet 是乌克兰黑客最近在针对俄罗斯地下基础设施公司的攻击中使用的一款工业控制系统 (ICS) 恶意软件。

近几个月来，据信隶属于乌克兰安全部门的一个名为 Blackjack 的黑客组织声称对俄罗斯多个重要组织发起了攻击。黑客以互联网服务提供商、公用事业公司、数据中心和俄罗斯军方为目标，据称造成了重大损害并泄露了敏感信息。

上周，Blackjack 披露了针对 Moscollector 的涉嫌攻击的细节，Moscollector 是一家总部位于莫斯科的公司，负责供水、污水处理和通信系统等地下基础设施。

“俄罗斯的工业传感器和监控基础设施已被禁用。”黑客声称。“它包括俄罗斯的网络运营中心 (NOC)，该中心监视和控制天然气、水、火灾报警器和许多其他设备，包括庞大的远程传感器和物联网控制器网络。”

黑客声称已经清除了数据库、电子邮件、内部监控和数据存储服务器。

此外，他们还声称已经禁用了 87,000 个传感器，其中包括与机场、地铁系统和天然气管道相关的传感器。为了实现这一目标，他们声称使用了 Fuxnet，这是一种被他们称为“类固醇震网”的恶意软件，这使得他们能够物理破坏传感器设备。

“Fuxnet 现在已开始淹没 RS485/MBus，并向 87,000 个嵌入式控制和传感系统发送‘随机’命令（小心地排除医院、机场和其他民用目标）。”黑客表示。

黑客的说法很难核实，但 Claroty 能够根据 Blackjack 提供的信息和代码对 Fuxnet 恶意软件进行分析，详情可参考Fuxnet 恶意软件分析报告：https://claroty.com/team82/research/unpacking-the-blackjack-groups-fuxnet-malware。

显示二十一点图像的受损工作站

该网络安全公司指出，Moscollector 部署的用于收集温度等物理数据的实际传感器很可能没有被 Fuxnet 损坏。相反，该恶意软件可能针对大约 500 个传感器网关，这些网关通过串行总线（例如 Blackjack 提到的 RS485/Meter-Bus）与传感器进行通信。这些网关还连接到互联网，能够将数据传输到公司的全球监控系统。

Claroty 指出：“如果网关确实损坏，维修工作可能会很广泛，因为这些设备分布在莫斯科及其郊区，必须更换，或者必须单独重新刷新固件。”

Claroty 对 Fuxnet 的分析表明，该恶意软件很可能是远程部署的。一旦进入设备，它将开始删除重要文件和目录，关闭远程访问服务以防止远程恢复，并删除路由表信息以防止与其他设备通信。然后，Fuxnet 将删除文件系统并重写设备的闪存。 

一旦损坏了文件系统并阻止了对设备的访问，恶意软件就会尝试物理破坏 NAND 存储芯片，然后重写 UBI 卷以防止重新启动。

此外，恶意软件还试图通过用随机数据淹没串行通道来破坏连接到网关的传感器，从而使串行总线和传感器过载。

“在恶意软件操作期间，它会通过仪表总线通道重复写入任意数据。这将阻止传感器和传感器网关发送和接收数据，从而使传感器数据采集变得毫无用处。”Claroty 解释道。

“因此，尽管攻击者声称破坏了 87,000 个设备，但他们实际上似乎只成功感染了传感器网关，并试图通过淹没连接不同传感器和网关的仪表总线通道来造成进一步的破坏，类似于网络模糊测试不同的连接传感器设备。结果，似乎只有传感器网关被变砖，而终端传感器却没有变砖。”

参考链接：

https://www.securityweek.com/destructive-ics-malware-fuxnet-used-by-ukraine-against-russian-infrastructure/

https://claroty.com/team82/research/unpacking-the-blackjack-groups-fuxnet-malware