Больше материалов: Boosty | Sponsr | TG

Fuxnet, включая скриншоты систем мониторинга, серверов

и баз данных, которые, по их утверждению, были удалены
и выведены из строя, а также дампы паролей.
Основные выводы из анализа Fuxnet, в т.ч. из
материалов Team82 и Claroty:
• Неподтверждённые заявления: Team82 и Claroty
не смогли подтвердить заявления относительно
влияния кибератаки на возможности правительства
по реагированию на чрезвычайные ситуации или
степени ущерба, причинённого Fuxnet.
• Несоответствие в сообщениях о воздействии:
первоначальное утверждение о 2659 сенсорных
шлюзов не совпали с информацией об атаке 1700. А
проведённый Team82 анализ показывает, что только
немногим более 500 были фактически затронуты
Fuxnet. На это последовали заявление Blackjack об
выведено из строя 87000 датчиков также было
разъяснено, заявив, что они отключили датчики,
«уничтожив шлюзы путём фаззинга», а не
физическое уничтожение датчиков.
• Фаззинг M-Bus: метод был направлен на
отключение датчиков, но точное количество
Аннотация – в документе представлен анализ Fuxnet,
датчиков оказалось невозможно установить ввиду
приписываемого хакерской группе Blackjack, которое, как
их недоступности извне.
сообщается, нацелено на инфраструктуру отдельных стран.
Анализ включает в себя различные аспекты вредоносного ПО, • Отсутствие прямых доказательств: отсутствуют
включая его технические характеристики, влияние на прямые доказательства, подтверждающие
системы, механизмы защиты, методы распространения, масштабы ущерба или влияние на возможности
цели и мотивы, стоящие за его внедрением. Изучив эти обнаружения чрезвычайных ситуаций и
аспекты, цель документа-обеспечить подробный обзор Fuxnet реагирования на них в т.ч. о Москоллектор.
по возможности и её значение для кибербезопасности.
• Разъяснение от Blackjack: после публикации
Документ предлагает качественное описание Fuxnet, первоначального анализа Team82 Blackjack
основанное на информации, которой публично доступной от обратилась с просьбой предоставить разъяснения, в
экспертов по кибербезопасности. Этот анализ полезен для частности, оспорив утверждение о том, что было
специалистов в области ИБ, ИТ-специалистов и затронуто только около 500 сенсорных шлюзов и
заинтересованных сторон в различных отраслях, поскольку он обнародованные файлы JSON были лишь примером
не только проливает свет на технические тонкости сложной полного объёма их деятельности.
киберугрозы, но и подчёркивает важность надёжных мер
кибербезопасности для защиты критически важной II. ОТРАСЛИ И ПОСЛЕДСТВИЯ
инфраструктуры от возникающих угроз. Документ A. Возможные отрасли:
способствует более широкому пониманию тактики ведения
кибервойны и повышает готовность организаций к защите • Коммунальные службы: Основной целью Fuxnet
от подобных атак в будущем. был сектор коммунальных услуг, в частности
сенсорные шлюзы, управляющие системами
I. ВВЕДЕНИЕ водоснабжения и канализации. Это может иметь
последствия для предоставления этих основных
Хакерская группа Blackjack, предположительно услуг и мониторинга за ними.
связанная с украинскими спецслужбами, взяла на себя
ответственность за кибератаку, которая якобы поставила • Службы экстренной помощи: Группа утверждала,
под угрозу возможности обнаружения чрезвычайных о получении доступ к службе экстренной помощи
ситуаций и реагирования на них в прилегающих районах 112, что могло повлиять на способность эффективно
РФ. Эта группа была связана с предыдущими кибератаками, реагировать на чрезвычайные ситуации.
направленными против интернет-провайдеров и военной • Транспорт: Группа также утверждала, что вывела
инфраструктуры. Их последнее заявление касается из строя датчики и контроллеры в критически
нападения на компанию, отвечающую за строительство и важных объектах инфраструктуры, включая
мониторинг инфраструктуры подземных вод, канализации аэропорты и метро, что могло нарушить
и коммуникаций. транспортное обслуживание и безопасность.
Группа распространила подробную информацию об • Энергетика: В качестве ещё одной цели были
атаке на веб-сайте ruexfil[.]com, включая использование упомянуты газопроводы, что указывает на
 Больше материалов: Boosty | Sponsr | TG

потенциальный риск для систем распределения данных, включая диски резервных копий. Такого рода
энергии и мониторинга. уничтожение данных может привести к потере
исторических данных, нарушению текущих операций и
B. Возможные последствия:
усложнению усилий по восстановлению.
• Нарушение работы служб: Разрушение или
неисправность сенсорных шлюзов может привести D. Аннулирование доступа в офисное здание
к нарушению работы систем мониторинга и Все карточки-ключи от офисного здания, как
управления коммунальными службами, что сообщается, признаны недействительными. Это действие
потенциально может привести к перебоям в
обслуживании. может помешать сотрудникам получить доступ к своему
рабочему месту, что ещё больше затруднит любые попытки
• Нарушение безопасности: В транспортном и оценить ущерб или запустить протоколы восстановления.
энергетическом секторах потеря функциональности
датчиков может представлять угрозу безопасности, E. Сброс пароля
поскольку эти датчики часто имеют решающее Также было заявлено о сбросе паролей из нескольких
значение для обнаружения опасных условий. внутренних служб, что могло быть повлечь
• Экономический эффект: Потенциальные простои несанкционированный доступ к различным системам и
и затраты на ремонт, связанные с заменой или данным, усугубляя последствия взлома и потенциально
перепрошивкой повреждённых шлюзов датчиков, приводя к дальнейшей эксплуатации.
могут иметь значительные экономические
последствия для затронутых отраслей. IV. НАБОР ЮНОГО АТАКУЮЩЕГО
• Задержки с реагированием на чрезвычайные Основное внимание было уделено коммуникационным
ситуации: может привести к задержкам в шлюзам, которые служат критическими узлами для
реагировании на чрезвычайные ситуации, что передачи данных от датчиков к глобальным системам
повлияет на общественную безопасность. мониторинга. Эти датчики являются неотъемлемой частью
• Утечка данных: возможная компрометация различных систем мониторинга окружающей среды, в том
сетевые системы потенциально может привести к числе используемых в пожарной сигнализации, газовом
утечке данных и утечке конфиденциальной мониторинге и системах управления освещением.
информации.
Датчики предназначены для сбора физических данных,
• Потеря общественного доверия: может привести к таких как температура, и передачи этой информации по
потере общественного доверия к сервисам и последовательному соединению или шине, в частности по
организациям, ответственным за их безопасность. шине RS485/Meter-Bus, на шлюз. Эти шлюзы действуют как
III. MOSCOLLECTOR-АТАКА узлы передачи, позволяя передавать телеметрические
данные через Интернет в централизованную систему
Недавно группа обнародовала свою деятельность и мониторинга, которая обеспечивает операторам видимость
украденную информацию на веб-сайте ruexfil, подробно и контроль над системами.
описав масштабы и последствия своего кибератаки. Выход
из строя этой системы потенциально может привести к Стандарт связи RS485, как упоминалось в деталях атаки,
нарушению возможностей реагирования на чрезвычайные является широко распространённым протоколом для
ситуации, что скажется на безопасности населения. промышленных систем управления благодаря своей
надёжности и возможностям связи на большие расстояния.
A. Установка датчиков и контроллеров критически Это позволяет нескольким устройствам взаимодействовать
важной инфраструктуры по единой системе шин, что важно для централизованного
Группа утверждает о взломе датчиков и контроллеров в мониторинга различных датчиков и контроллеров.
критически важных секторах инфраструктуры, включая Шина M-Bus — это протокол связи, используемый для
аэропорты, метро и газопроводы. Это действие, если оно сбора и передачи данных о потреблении, обычно для
было реальным, могло привести к отключению основных коммунальных услуг, таких как электричество, газ, вода
систем мониторинга и контроля, что привело бы к или тепло. В сочетании с RS485 он образует надёжную сеть,
значительным сбоям в работе общественных служб и позволяющую промышленным датчикам передавать
обеспечении безопасности. информацию в центральные системы.
B. Сбой в работе сетевого устройства Компрометируя шлюзы, можно потенциально нарушить
Группа утверждает, что они отключили сетевые передачу телеметрии и управление датчиками, что приведёт
устройства, такие как маршрутизаторы и брандмауэры. Это к потере оперативной видимости и потенциально вызовет
оказало бы каскадное воздействие на целостность сети, хаос в системах, которые полагаются на эти данные.
потенциально изолировав различные сегменты и затруднив
коммуникацию в инфраструктуре. A. Утечка информации
Информация из файлов JSON была подтверждена двумя
C. Удаление серверов и баз данных видеороликами на YouTube, демонстрирующими
Злоумышленники утверждают, что удалили серверы, развёртывание Fuxnet. Устройства, перечисленные в
рабочие станции и базы данных, уничтожив около 30 ТБ видеороликах, соответствовали шлюзам из файла JSON,
 Больше материалов: Boosty | Sponsr | TG

подтверждая, что шлюзы TMSB / MPSB были основными который использует встроенный модем для
целями Fuxnet. передачи данных через Интернет в систему
мониторинга.
Данные включали типы и названия устройств, IP-адреса,
порты связи и данные о местоположении. В файле JSON B. Ошибки в системе безопасности и методология атак
были перечислены следующие типы устройств: Значительный недостаток в системе безопасности:
• MPSB (шлюз датчиков): 424 устройства использованием учётных данных по умолчанию (имя
пользователя: sbk, пароль: temppwd) для доступа к шлюзам
• TMSB (сенсорный шлюз+модем): 93 устройства через SSH. Эта уязвимость позволила злоумышленникам
• IBZ (3g-маршрутизатор): 93 устройства легко скомпрометировать устройства.

• Windows 10 (рабочая станция): 9 устройств Злоумышленники также опубликовали скриншоты из

пользовательского интерфейса управления датчиками,
• Windows 7 (рабочая станция): 1 устройство демонстрирующие топологию сети.
• Windows XP (рабочая станция): 1 устройство Помимо модуля TMSB со встроенными возможностями
Этот список указывает на то, что атака была 3/4G, злоумышленники упомянули использование роутеров
сосредоточена на сенсорных шлюзах, а не на самих iRZ RL22w. Эти маршрутизаторы, использующие
конечных датчиках. Шлюзы служат узлами связи для OpenWRT использовались в качестве интернет-шлюзов для
потенциально многочисленных датчиков, подключённых подключения датчиков к Интернету через 3G.
по последовательной шине, такой как RS485/Meter-Bus. Сообщается, что злоумышленники использовали SSH
Утечка данных, включая скриншоты и экспорт в для подключения к этим устройствам Интернета вещей и
формате JSON, выявила два конкретных типа шлюзов, туннелирования к внутренним устройствам, вероятно,
скомпрометированных во время атаки: после получения паролей root. Поисковые запросы Shodan
и Censys показали, что тысячи маршрутизаторов iRZ
• Шлюз MPSB: Этот шлюз разработан для обмена доступны в Интернете, при этом около 4100 устройств
информацией с внешними устройствами через напрямую предоставляют свои услуги и около 500
несколько интерфейсов. Он поддерживает Ethernet и подключены к Telnet.
протоколы последовательной связи, включая CAN,
RS-232 и RS-485. Шлюз MPSB является важнейшим C. Программное обеспечение для управления датчиками и
компонентом для интеграции различных входных ввода их в эксплуатацию:
данных датчиков в единую систему мониторинга. ПО подключается к устройствам с использованием
проприетарного протокола, который работает через порт
• Шлюз TMSB: Аналогичный по функциям MPSB, TCP 4321. Интерфейс позволяет получать доступ к
шлюз TMSB включает встроенный модем 3G / 4G, настройкам датчиков и изменять их, включая конфигурации
который позволяет передавать данные ввода / вывода, узлы и показания. Эта возможность
непосредственно через Интернет в удалённую необходима для надлежащей настройки и обслуживания
систему без необходимости в дополнительном сенсорных сетей, гарантируя их эффективную и точную
маршрутизирующем оборудовании. работу в назначенных условиях.
Кибератака была нацелена на критически важную часть Особенности программного обеспечения:
экосистемы датчиков: устройств оркестраторов / шлюзов, в
частности шлюзы MPSB и TMSB. Эти устройства • Подключение устройства: используется
необходимы для считывания показаний основных датчиков проприетарный протокол поверх TCP/4321 для
ввода-вывода и управления ими, а также для передачи установления безопасного соединения с датчиками.
данных в глобальную систему мониторинга для • Возможности настройки: параметры датчиков,
централизованного надзора. включая корректировку их рабочих параметров и
управление данными, которые они собирают.
В ходе атаки использовались каналы связи между
датчиками и глобальной системой мониторинга: • Пользовательский интерфейс: интерфейс
предоставляет средства взаимодействия с
• Для шлюза MPSB: Датчик —--- MBus/RS485 → подключёнными датчиками
MPSB + IoT роутер —---Интернет→ Система
мониторинга. данные датчика передаются через D. Техническое воздействие
MBus/ RS485 на шлюз MPSB, который затем Система мониторинга датчиков является важным
передает данные через маршрутизатор Интернета компонентом инфраструктуры, предназначенной для. Эта
вещей в Интернет и, наконец, в систему система предназначена для объединения и отображения
мониторинга. телеметрии и отчётов о состоянии, поступающих от сети
• Для шлюза TMSB: Датчик —---— MBus/RS485 → датчиков, позволяя системным операторам получать
TMSB (3g/4g модем) ----Интернет → Система оповещения в режиме реального времени, регистрировать
мониторинга. данные датчика передаются через данные и удалённо управлять датчиками.
MBus/ RS485 непосредственно на шлюз TMSB,
 Больше материалов: Boosty | Sponsr | TG

Согласно заявлениям, группа успешно взломала эту приводилось к удалению критически важных файлов и
систему мониторинга и получили доступ к полному списку каталогов. Fuxnet также отключал службы удалённого
управляемых датчиков и смогли географически доступа, включая SSH, HTTP, telnet и SNMP, эффективно
сопоставить эти датчики на карте. Это раскрыло предотвращая любые попытки удалённого восстановления.
конфиденциальные оперативные данные, позволило Кроме того, Fuxnet удалила таблицу маршрутизации
манипулировать выходными данными датчиков для устройства, что привело к нарушению его
нарушения их работы: коммуникационных возможностей.
• Функции геолокации: Система мониторинга имеет C. «Уничтожение» чипов NAND
геолокационные метки, которые помогают Вывод из строя достигался путём выполнения операции
визуализировать физическое расположение изменения битов на участках чипа SSD NAND,
датчиков по всей сети. Эта функция особенно
многократно записывая и перезаписывая память до полного
полезна при крупномасштабных операциях, когда
датчики разбросаны по обширным площадям. отказа чипа, так как память NAND имеет ограниченное
количество циклов записи.
• Мониторинг конкретного объекта: скриншоты из
системы показывают, что она способна D. Разрушающий томов UBI
фокусироваться на конкретных объектах, таких как Чтобы предотвратить перезагрузку датчика, Fuxnet
больницы, что указывает на её использование в переписывает том UBI используя интерфейс IOCTL
критически важных инфраструктурных объектах, UBI_IOCVOLUP, чтобы заставить ядро ожидать, что будет
где точный мониторинг необходим для обеспечения записано большее количество байт, чем фактически
безопасности и работоспособности. отправлено было на запись, в результате чего устройство
зависало на неопределённый срок. Затем вредоносная
V. АНАЛИЗ FUXNET программа перезаписала том UBI ненужными данными,
Логические процессы, выявленные в поведении Fuxnet, дестабилизируя файловую систему.
включают несколько шагов, направленных на нанесение
необратимого ущерба целевым устройствам. E. Отказ в обслуживании при мониторинге
Последним шагом в процессе работы вредоносного ПО
• Fuxnet была специально разработана для атаки на было нарушение связи между шлюзами датчиков и самими
сенсорные шлюзы и их выведения из строя, а не на
конечные датчики. датчиками. Fuxnet замусорила каналы RS485 / Meter-Bus
случайными данными, перегружая шину и датчики, что
• Действия вредоносного ПО включали блокировку предотвратило передачу и приём данных датчиками и
устройств, «уничтожение» файловых систем, чипов шлюзами, сделав процесс сбора данных бесполезным.
NAND и томов UBI, а также флуд в каналах связи.
F. Стратегия фаззинга M-Bus
• Атаке, вероятно, способствовало использование
учётных данных по умолчанию и уязвимостей в Стратегия включала постоянную отправку данных M-
протоколах удалённого доступа. Bus по последовательному каналу RS485 с целью
перегрузки и потенциального повреждения датчиков,
• Несмотря на заявления о компрометации 87 000 подключённых к этой сети.
устройств, фактическое воздействие, по-видимому,
ограничено сенсорными шлюзами, а конечные • Случайный фаззинг: формирование случайных
датчики, вероятно, остались нетронутыми. байт и отправку их по M-Bus с добавлением
A. Сценарий развёртывания простого CRC, чтобы гарантировать, что данные не
будут проигнорированы. Цель состояла в том, чтобы
Злоумышленники составили полный список IP-адресов охватить весь диапазон возможных полезных
сенсорных шлюзов, на которые они намеревались напасть, нагрузок M-Bus, действительных или нет, в надежде
наряду с подробными описаниями физического вызвать неисправности датчиков или уязвимости.
местоположения каждого датчика. Затем вредоносная
программа была распространена среди каждой цели, • Структурированный фаззинг: формирование
вероятно, с использованием протоколов удалённого допустимых данных с изменением определённых
доступа, таких как SSH или проприетарный протокол SBK полей в протоколе. Более точно придерживаясь
структуры M-Bus, была увеличена вероятность того,
sensor protocol, через TCP-порт 4321. что датчик сочтёт пакет действительным и
B. Блокировка устройств и «уничтожение» файловой полностью проанализирует его, тем самым
системы увеличив шансы срабатывания уязвимости.
После запуска на целевом устройстве Fuxnet
инициировала процесс его блокировки. Повторное
монтирование файловой системы с доступом на запись