Grupo Ucraniano BlackJack usou malware ICS FUXNET contra Rússia

A empresa de segurança cibernética IoT industrial e empresarial Claroty relatou que o grupo de hackers ucraniano Blackjack afirma ter danificado a detecção de emergência e as capacidades de resposta em Moscou e fora da capital russa usando um malware destrutivo ICS chamado Fuxnet.

Acredita-se que o grupo Blackjack esteja afiliado aos serviços de inteligência ucranianos que realizaram outros ataques contra alvos russos, incluindo um  provedor de internet  e uma  infraestrutura militar .

O grupo afirma ter atacado a Moscollector, uma empresa sediada em Moscovo, responsável pela construção e monitorização de infraestruturas subterrâneas de água e esgotos e de comunicações. 

O site ruexfil.com forneceu informações detalhadas sobre os ataques contra o Moscollector. Os hackers também publicaram capturas de tela de sistemas de monitoramento, servidores e bancos de dados que afirmam ter comprometido.

O site também hospeda despejos de senhas supostamente roubadas da empresa russa.

Abaixo está a linha do tempo do ataque publicada em ruexfil.com:

Acesso inicial Junho 2023. 
- Acesso ao Serviço de Urgência 112 . 
- 87.000 sensores e controles foram desativados (incluindo aeroportos, metrôs, gasodutos, ...). 
- Fuxnet (stuxnet com esteróides) foi implantado anteriormente para destruir lenta e fisicamente equipamentos sensoriais 
  (por esgotamento de NAND/SSD e introdução de CRC defeituoso no firmware). ( Vídeo do YouTube 1 , Vídeo do YouTube 2 ). 
- A Fuxnet começou agora a inundar o RS485/MBus e está a enviar comandos “aleatórios” para 87.000 
  sistemas incorporados de controlo e sensoriais (excluindo cuidadosamente hospitais, aeroportos, ...e outros alvos civis). 
- Todos os servidores foram excluídos. Todos os roteadores foram redefinidos para a configuração original. A maioria das estações de trabalho (incluindo 
  as estações de trabalho dos administradores) foram excluídas . 
- O acesso ao edifício de escritórios foi desativado (todos os cartões-chave foram invalidados). 
- Moscollector foi recentemente certificado pelo FSB por ser 'seguro e confiável' (foto incluída) 
- Página web desfigurada (https://web.archive.org/web/20240409020908/https://moscollector.ru/)

O site informou que o Blackjack destruiu cerca de 1.700 roteadores de sensores implantados em aeroportos, metrôs e gasodutos. O grupo também interrompeu o despachante de comando central e o banco de dados. O ataque colocou todos os 87.000 sensores off-line, os agentes da ameaça também limparam bancos de dados, backups e servidores de e-mail, num total de 30 TB de dados.

“A Fuxnet começou agora a inundar o RS485/MBus e está enviando comandos ‘aleatórios’ para 87.000 sistemas integrados de controle e sensoriais (excluindo cuidadosamente hospitais, aeroportos,… e outros alvos civis).” afirma o site.

Team82 e Claroty não conseguiram verificar as alegações dos invasores; no entanto, conduziram uma análise detalhada do malware Fuxnet com base nas informações fornecidas pelos invasores.

“Por exemplo, Blackjack afirma ter danificado ou destruído 87.000 sensores remotos e coletores IoT. No entanto, nossa análise dos dados vazados pelo Blackjack, incluindo o malware Fuxnet, indica que apenas um pouco mais de 500 gateways de sensores foram bloqueados pelo malware no ataque, e os sensores e controladores remotos provavelmente permanecerão intactos.” lê a análise publicada pela Claroty. “Se os gateways fossem realmente danificados, os reparos poderiam ser extensos, uma vez que esses dispositivos estão espalhados geograficamente por Moscou e seus subúrbios e devem ser substituídos ou seu firmware deve ser atualizado individualmente.”

A cadeia de ataque vê hackers visando uma lista de IPs de gateways de sensores. Os agentes de ameaças distribuíram seu malware para cada alvo, provavelmente por meio de protocolos de acesso remoto, como SSH ou protocolo de sensor (SBK) pela porta 4321.

Ao ser executado no dispositivo alvo, o malware inicia um novo processo filho para bloquear o dispositivo. O código malicioso remonta o sistema de arquivos com acesso de gravação, exclui arquivos e diretórios essenciais do sistema de arquivos e desativa serviços de acesso remoto, como SSH, HTTP, telnet e SNMP. Isto impede o acesso remoto para operações de restauração, mesmo que o roteador permaneça funcional.

Posteriormente, os agentes da ameaça apagam a tabela de roteamento do roteador, tornando sua comunicação com outros dispositivos não funcional. Finalmente, o malware exclui o sistema de arquivos e reescreve a memória flash usando os dispositivos mtdblock do sistema operacional.

Depois de corromper o sistema de arquivos e isolar o dispositivo, o malware tenta destruir fisicamente o chip de memória NAND e reescrever o volume UBI para evitar a reinicialização. 

“Para garantir que o sensor não reinicie novamente, o malware reescreve o  volume UBI . Primeiro, o malware usa a  IOCTL interface  UBI_IOCVOLUP,  permitindo interagir com a camada de gerenciamento que controla a memória flash, que informa ao kernel que o volume UBI será reescrito e que um número x de bytes será gravado.” continua o relatório. “Em seu comportamento normal, o kernel saberá que a reescrita foi concluída somente quando um número x de bytes foi escrito. No entanto, o malware não gravará um número x de bytes no UBI; em vez disso, gravará menos bytes do que declara, fazendo com que o dispositivo aguarde a conclusão da reescrita indefinidamente.”  

O malware sobrescreve o volume UBI com dados indesejados (0xFF), tornando o UBI inútil e o sistema de arquivos torna-se instável.

O malware também tenta interromper sensores conectados ao gateway inundando canais seriais com dados aleatórios, sobrecarregando o barramento serial e os sensores.

“Os invasores desenvolveram e implantaram malware que tinha como alvo os gateways e excluiu sistemas de arquivos, diretórios, desativou serviços de acesso remoto, serviços de roteamento para cada dispositivo e reescreveu a memória flash, destruiu chips de memória NAND, volumes UBI e outras ações que interromperam ainda mais a operação desses gateways .” conclui o relatório.