乌克兰的黑客组织"Blackjack"一直专注于对俄罗斯展开破坏性攻击,其主要利用的工具就是被称作"Fuxnet"的工控恶意软件。近期,该组织选择了俄罗斯的基础设施作为其攻击的目标。
据网络安全专家称,"Blackjack"宣称已经利用"Fuxnet"恶意软件成功地打乱了莫斯科以及其他俄罗斯首都的紧急侦测和响应能力。"Blackjack"组织被认为与乌克兰情报服务有紧密关联,此前他们已经对包括互联网提供商和军事基础设施在内的多个俄罗斯目标发起过攻击。
Moscollector,这家位于莫斯科的公司,是他们的最新目标。这是一家专注于建设和监控地下水、废水以及通信的基础设施的公司。"Blackjack"声称已经成功入侵了他们的监控系统、服务器以及数据库,并且在ruexfil.com网站上公开了相关的屏幕截图。
以下是在ruexfil.com上发布的攻击时间线:
2023年6月初次接触。
➣接入112紧急服务。
➣已禁用87,000个传感器和控制器(包括机场、地铁、煤气管道……)。
➣Fuxnet(类似超级版的stuxnet)早些时候被部署,用来慢慢且物理地销毁传感设备
(通过NAND/SSD耗尽和引入糟糕的CRC到固件中)。(YouTube视频1,YouTube视频2)。
➣Fuxnet现在开始淹没RS485/MBus,并向87,000个嵌入式控制和传感系统发送'随机'命令
(仔细地排除医院、机场……和其他民用目标)。
➣所有服务器都已删除。所有路由器都已重置为出厂设置。大多数工作站(包括管理员的工作站)都已删除。
➣已禁用进入办公大楼的权限(所有钥匙卡已经作废)。
➣Moscollector最近被FSB认证为'安全&可信赖'(包含照片)
➣侵改了网页(https://web.archive.org/web/20240409020908/https://moscollector.ru/)
"Fuxnet"现在开始以RS485/MBus为平台,向87000个嵌入式控制和传感系统发送“随机”命令。这其中,对于医院、机场以及其他重要民用目标,"Blackjack"则予以详细的排除。
报告还指出,"Blackjack"破坏了约1700个部署在机场、地铁、煤气管道的传感器路由器,使得这些设备的应急指挥调度和数据库功能全面瘫痪。
但是,尽管“Blackjack”声称已破坏了87000个远程传感器和物联网收集器,Claroty的分析结果是,基于已泄露数据和对Fuxnet恶意软件的分析,只有略超过500个感应器网关被恶意软件破坏,众多远程感应器和控制器可能还完好无损。
攻击链指向了一个特定的感应器网关IP列表,疑似攻击者对此处进行了恶意软件的分发,可能是通过SSH或者传感器协议(SBK)在4321端口进行。一旦设备被感染并启动了新的子进程,便可对该设备进行锁定。恶意代码重新挂载设备上的文件系统以获取写入访问权限,从而删除关键文件系统文件及目录,并禁用SSH、HTTP、telnet和SNMP等远程访问服务。
以此为开端,"Blackjack"不仅操纵恶意软件,清空路由器的路由表,使其与其他设备的通信失常,还将其文件系统重建并使用操作系统的mtdblock设备重写闪存。当文件系统受损,设备隔离,这时就可以通过这种方式,物理地销毁NAND记忆芯片,并重写UBI卷,避免设备重启。
最后,为确保传感器不再次重启,恶意软件重写UBI卷,制造了一个漏洞,使设备无限期地等待重写完成。而之后,恶意软件则用垃圾数据覆写文件系统。
由于这一系列的破坏行动,设备的串行通道被随机数据所淹没,路由服务被清空,闪存被重写,NAND记忆芯片、UBI卷甚至其他设备因此而被销毁。黑客的破坏行动并未停止,直至整个系统瘫痪。
以上,就是此次攻击行动的详细过程。然而,“Blackjack”的攻击行动仍在持续之中。
2024.04.16
2024.04.15
2024.04.12
注:本文由E安全编译报道,转载请联系授权并注明来源。
热门跟贴