Fuxnet, un malware ICS destructeur, a été utilisé par le groupe de piratage ukrainien Blackjack pour perturber les infrastructures russes.
Ne vous fiez pas à son nom. Blackjack n'a rien de ludique. C'est le nom d'un groupe de hackers ukrainiens qui a utilisé Fuxnet, un malware du système de contrôle industriel (ICS) pour mener une attaque contre la Russie. C'est Claroty, une entreprise spécialisée dans la cybersécurité des systèmes IoT industriels, qui a analysé les faits.
Blackjack a lancé des attaques contre plusieurs organisations russes vitales à l'économie du pays, notamment des fournisseurs d'accès Internet, des services publics, des centres de données et des installations militaires.
Et pour asseoir son désir de domination, récemment, Blackjack a dévoilé les détails d'une attaque présumée contre Moscollector, une entreprise moscovite responsable des infrastructures souterraines, y compris les systèmes d'eau, d'assainissement et de communication.
Après que des hackers russes du groupe Sandworm ont infiltré un géant des télécoms ukrainien, il semble que la cyberguerre est déclarée entre les deux pays, qui se livrent déjà une bataille sur terre et dans les airs depuis 2022.
Attaque sur l'infrastructure industrielle russe
Les pirates ont déclaré avoir neutralisé l'infrastructure de surveillance et de capteurs industriels de la Russie. Ils ont mentionné la désactivation du Centre d'exploitation du réseau (NOC) russe, qui supervise divers systèmes, dont le gaz et l'eau, ainsi qu'un large éventail de capteurs et contrôleurs IoT à distance. Selon eux, les serveurs de base de données, de courrier électronique, de surveillance interne et de stockage de données ont été effacés.
Ils ont également indiqué avoir mis hors service 87 000 capteurs, y compris ceux liés aux aéroports, systèmes de métro et pipelines de gaz, en utilisant le malware Fuxnet, qu'ils comparent à un « Stuxnet sous stéroïdes », capable de détruire physiquement les équipements de capteurs. Ils affirment que Fuxnet a inondé le RS485/MBus, envoyant des commandes aléatoires à 87 000 systèmes de contrôle et capteurs intégrés, tout en évitant les cibles civiles telles que les hôpitaux et les aéroports.
Blackjack a rendu publiques des informations sur leurs activités contre Moscollector et les informations volées lors de l'attaque du site ruexfil. Ils ont affirmé avoir accédé au numéro d'urgence russe 112 et piraté des capteurs et des contrôleurs dans des infrastructures critiques, y compris les aéroports, les métros et les gazoducs, qui ont tous été désactivés. Ils ont également partagé les détails et le code du malware Fuxnet utilisé dans l'attaque. Ils ont désactivé des appareils réseau tels que les routeurs et les pare-feu, supprimé des serveurs, des postes de travail et des bases de données, effaçant 30 To de données, y compris les lecteurs de sauvegarde. Ils ont désactivé l'accès au bâtiment de bureaux Moscollector en invalidant toutes les cartes d'accès et vidé les mots de passe de plusieurs services internes.
Analyse de l'attaque par Claroty
Les revendications des pirates sont sujettes à caution, mais Claroty a analysé le malware Fuxnet à partir des données fournies par Blackjack. Claroty a précisé que les capteurs de Moscollector, qui mesurent des données physiques comme la température, n'auraient pas été affectés par Fuxnet. Le malware aurait plutôt visé environ 500 passerelles de capteurs, qui relaient les informations des capteurs via un bus série tel que le RS-485/Meter-Bus et transmettent les données via Internet au système de surveillance mondial.
Claroty a indiqué que si ces passerelles étaient endommagées, les réparations seraient conséquentes, car il faudrait remplacer ou reprogrammer le firmware de ces dispositifs, dispersés à travers Moscou et ses environs. L'analyse révèle que Fuxnet aurait été déployé à distance, effaçant fichiers et répertoires cruciaux, désactivant les services d'accès à distance et supprimant les informations de routage pour isoler les appareils. Le malware aurait ensuite corrompu le système de fichiers et la mémoire flash, tenté de détruire la puce mémoire NAND et réécrit le volume UBI pour bloquer le redémarrage.
De plus, Fuxnet aurait perturbé les capteurs en inondant les canaux série de données aléatoires, surchargeant ainsi le bus série et les capteurs. Claroty explique que le malware aurait écrit de manière répétée des données arbitraires sur le canal Meter-Bus, empêchant la transmission et la réception de données par les capteurs et la passerelle, rendant la collecte de données inopérante. Ainsi, malgré les dires des pirates, il semblerait que seules les passerelles de capteurs aient été compromises, et non les capteurs eux-mêmes.
Source : Security Affairs, Claroty