Η βιομηχανική και επιχειρηματική εταιρεία κυβερνοασφάλειας IoT Claroty ανέφερε ότι η ουκρανική ομάδα hacking Blackjack, ισχυρίζεται ότι έχει καταστρέψει τις δυνατότητες ανίχνευσης και απόκρισης έκτακτης ανάγκης στη Μόσχα και πέρα ​​από τη ρωσική πρωτεύουσα, χρησιμοποιώντας ένα καταστροφικό ICS malware που ονομάζεται Fuxnet.

Δείτε επίσης: Το malware AZORult εξαπλώνεται μέσω ψεύτικων ιστότοπων Google

Η ομάδα Blackjack πιστεύεται ότι συνδέεται με τις ουκρανικές υπηρεσίες πληροφοριών που πραγματοποίησαν άλλες επιθέσεις εναντίον ρωσικών στόχων, συμπεριλαμβανομένου ενός παρόχου Διαδικτύου και μιας στρατιωτικής υποδομής.

Η ομάδα ισχυρίζεται ότι επιτέθηκε στη Moscollector, μια εταιρεία με έδρα τη Μόσχα, η οποία είναι υπεύθυνη για την κατασκευή και την παρακολούθηση των υποδομών υπόγειων υδάτων και λυμάτων και επικοινωνιών.

Ο ιστότοπος ruexfil.com παρείχε λεπτομερείς πληροφορίες σχετικά με τις επιθέσεις κατά του Moscollector, οι hackers της Blackjack δημοσίευσαν επίσης στιγμιότυπα οθόνης συστημάτων παρακολούθησης, διακομιστών και βάσεων δεδομένων που ισχυρίζονται ότι έχουν παραβιάσει χρησιμοποιώντας το Fuxnet malware.

Ο ιστότοπος ανέφερε ότι το Blackjack κατέστρεψε περίπου 1.700 δρομολογητές αισθητήρων που είχαν αναπτυχθεί σε αεροδρόμια, μετρό, αγωγούς αερίου. Η ομάδα διέκοψε επίσης τον κεντρικό αποστολέα εντολών και τη βάση δεδομένων. Η επίθεση έφερε και τους 87.000 αισθητήρες εκτός σύνδεσης, οι παράγοντες απειλών διέγραψαν επίσης βάσεις δεδομένων, αντίγραφα ασφαλείας και διακομιστές email, συνολικά 30 TB δεδομένων.

Οι Team82 και Claroty δεν μπόρεσαν να επαληθεύσουν τους ισχυρισμούς της συμμορίας Blackjack, ωστόσο, διεξήγαγαν μια λεπτομερή ανάλυση του Fuxnet malware βασιζόμενοι σε πληροφορίες που παρείχαν οι εισβολείς.

Δείτε ακόμα: Τα “TicTacToe Dropper” χρησιμοποιούνται για τη διανομή malware

Η αλυσίδα επίθεσης υποδεικνύει ότι οι hackers στοχεύουν μια λίστα με IP πυλών αισθητήρων. Οι φορείς απειλών διένειμαν το κακόβουλο λογισμικό τους σε κάθε στόχο, πιθανότατα είτε μέσω πρωτοκόλλων απομακρυσμένης πρόσβασης όπως το SSH είτε μέσω του πρωτοκόλλου αισθητήρα (SBK) μέσω της θύρας 4321.

Κατά την εκτέλεση στη συσκευή προορισμού, το Fuxnet malware της Blackjack ξεκινά μια νέα θυγατρική διαδικασία για να κλειδώσει τη συσκευή. Ο κακόβουλος κώδικας επανατοποθετεί το σύστημα αρχείων με πρόσβαση εγγραφής, μετά διαγράφει βασικά αρχεία και καταλόγους του συστήματος αρχείων και απενεργοποιεί τις υπηρεσίες απομακρυσμένης πρόσβασης όπως SSH, HTTP, telnet και SNMP. Αυτό αποτρέπει την απομακρυσμένη πρόσβαση για λειτουργίες επαναφοράς ακόμη και αν ο δρομολογητής παραμένει λειτουργικός.

Στη συνέχεια, οι παράγοντες απειλής διαγράφουν τον πίνακα δρομολόγησης του δρομολογητή, καθιστώντας την επικοινωνία του με άλλες συσκευές μη λειτουργική. Τέλος, το κακόβουλο λογισμικό διαγράφει το σύστημα αρχείων και ξαναγράφει τη μνήμη flash χρησιμοποιώντας τις συσκευές mtdblock του λειτουργικού συστήματος. Μόλις καταστρέψει το σύστημα αρχείων και απομονώσει τη συσκευή, το κακόβουλο λογισμικό επιχειρεί να καταστρέψει φυσικά το τσιπ μνήμης NAND και ξαναγράφει τον τόμο UBI για να αποτρέψει την επανεκκίνηση.

Δείτε επίσης: Το TheMoon malware μόλυνε 6.000 δρομολογητές της ASUS

Πώς μπορεί κάποιος να προστατευτεί από το malware;

Η προστασία από το malware, όπως το Fuxnet που χρησιμοποιεί η ομάδα Blackjack, απαιτεί μια σειρά από βήματα. Καταρχάς, είναι απαραίτητο να χρησιμοποιείτε ένα αξιόπιστο πρόγραμμα anti-malware. Αυτό το λογισμικό θα πρέπει να ενημερώνεται τακτικά για να μπορεί να αντιμετωπίζει τα νεότερα είδη malware. Επιπλέον, είναι σημαντικό να διατηρείτε το λειτουργικό σας σύστημα και όλα τα προγράμματα που χρησιμοποιείτε ενημερωμένα. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να βοηθήσουν στην προστασία από το malware. Είναι επίσης σημαντικό να είστε προσεκτικοί με τα emails και τα μηνύματα που λαμβάνετε. Πολλά malware εξαπλώνονται μέσω phishing επιθέσεων, όπου οι επιτιθέμενοι προσπαθούν να σας πείσουν να κάνετε κλικ σε επιβλαβή συνδέσμους ή να ανοίξετε επιβλαβή αρχεία. Τέλος, είναι καλή ιδέα να δημιουργείτε τακτικά αντίγραφα ασφαλείας των σημαντικών δεδομένων σας.

Πηγή: securityaffairs