Un'arma informatica può mettere fuori uso l'interruttore della luce?

Un'arma informatica può mettere fuori uso l'interruttore della luce?
Un gruppo noto come Sandworm Apt, legato alla Russia, ha preso di mira impianti energetici in Ucraina. Ha un arsenale molto fornito, ma in questo caso ha usato una nuova variante di un malware noto come Industroyer. Di cosa si tratta
4 minuti di lettura

Nei giorni scorsi la notizia di attacchi condotti da unità cyber che operano per conto del governo russo ha fatto il giro del mondo. Un gruppo noto come Sandworm Apt, legato alla Russia, ha preso di mira gli impianti energetici in Ucraina con dei codici malevoli appositamente concepiti per distruggere le operazioni.

Le aziende di sicurezza, in particolare Eset e Microsoft, hanno supportato il centro di risposta alle emergenze informatici ucraino (Cert-Ua) nell’individuazione dei codici malevoli usati negli attacchi e nel diffondere un’allarma su scala globale.

L’arsenale del gruppo Sandworm APT è da sempre riconosciuto come tra quelli più forniti, così come la capacità offensiva di questa unità in grado di disporre di exploit zero-day (ovvero capaci di sfruttare falle nei sistemi presi di mira prima che siano pubblicamente note) per dispositivi di vario tipo, dalle macchine Linux o Windows ai sistemi industriali Ics/Scada.

Nello specifico, il gruppo ha utilizzato negli attacchi agli impianti energetici in Ucraina una nuova variante di un malware per sistemi Ics(Industrial Control Systems) nota come Industroyer ed una nuova versione di un malware distruttivo noto come CaddyWiper.

Cos'è Industroyer

A molti tra voi il nome Industroyer non dirà nulla, tuttavia, sappiate che si tratta di un malware noto agli esperti di sicurezza perché è stato utilizzato in un attacco che nel 2016 ha colpito i grid elettrici ucraini causando diffusi blackout nella capitale. In quel caso la comunità di sicurezza attribuì gli attacchi ad attori che operavano per conto del governo russo.

Secondo il CERT-UA, gli attaccanti hanno preso di mira le sottostazioni elettriche ad alta tensione con Industroyer2. Per l’occasione è stata utilizzata una variante personalizzata per prendere di mira specifiche stazioni elettriche, non solo, gli aggressori hanno anche utilizzato il wiper Caddywiper per prendere di mira i sistemi basati su sistema operativo Windows, mentre le apparecchiature server basate su sistemi operativi Linux sono state colpite con malware distruttivi noti come Orcshred, Soloshred, Awfulshred.

Si è trattata quindi di una vera e propria operazione militare, pianificata in dettaglio e che ha previsto una importante fase di raccolta di informazioni sui sistemi obiettivo.

L'escalation potrebbe essere vicina

Sino ad oggi abbiamo assistito ad operazioni di hackeraggio e disinformazione che tuttavia poco avevo a che fare con il concetto di guerra informatica. La temuta escalation potrebbe essere vicina, i malware coinvolti sono infatti assimilabili a delle armi in grado di distruggere il sistema elettrico ucraino dal cui funzionamento dipendono attività critiche per il paese, si pensi al solo ambito sanitario.

Le unità cyber russe aveva pianificato l’attacco da diverse settimane, questo è quanto è emerso dalla analisi dei codici malevoli utilizzati. L’attacco che avrebbe potuto lasciare senza energia milioni di persone ed è stato concepito per causare importanti danni al sistema elettrico impedendone un rapido ripristino delle operazioni, soprattutto in un contesto di guerra in cui operano i tecnici ucraini. L’attacco era programmato per la sera dell’8 aprile, ma il pronto intervento del Cert-Uae delle aziende di sicurezza menzionate ha scongiurato una situazione catastrofica.

Secondo il Cert-Ua si sarebbe trattato di almeno due ondate di attacchi contro gli impianti energetici del paese, una prima parziale compromissione è avvenuta prima di febbraio.

Il Cert-Ua ha raccolto gli indicatori di compromissione (una sorta di identikit della minaccia) per questi attacchi e li ha condivisi, insieme alle regole di Yara (regole da applicare ad apparati di sicurezza per individuare la minaccia), con un numero limitato di partner internazionali e società energetiche ucraine.

La società di sicurezza Eset, che ha aiutato il governo ucraino, ha pubblicato un rapporto dettagliato sul malware Industroyer2 concepito per colpire una compagnia energetica ucraina.

L'importanza della protezione delle infrastrutture nazionali

"Riteniamo con grande sicurezza che gli aggressori abbiano utilizzato una nuova versione del malware Industroyer, che è stato utilizzato nel 2016 per interrompere l'alimentazione in Ucraina", si legge nel rapporto pubblicato da Eset. "Riteniamo inoltre che il gruppo APT Sandworm è responsabile di questo nuovo attacco".

L’attacco ci ricorda quanto sia importante la protezione delle infrastrutture critiche nazionali, come le reti energetiche. La diffusione di malware concepiti per distruggere sistemi Ics e Scada è estremamente preoccupante, in gioco vi è la sicurezza nazionale.

Il rischio spillover, ovvero che una di queste armi informatiche possa colpire sistemi in tutto il mondo è elevato, non a caso le agenzie americane Cisa, Nsa, Fbi e Dipartimento dell'Energia (Doe) hanno pubblicato un avviso congiunto per avvertire che attori nation-state sono in grado di colpire più dispositivi industriali utilizzando un nuovo malware concepito per sistemi Ics e Scada.

"Gli strumenti degli attori APT hanno un'architettura modulare e consentono agli attaccanti di condurre attacchi altamente automatizzati contro dispositivi mirati. I moduli interagiscono con i dispositivi presi di mira, consentendo anche ad attori meno qualificati di condurre operazoni sofisticate, si legge nell'avviso congiunto.

Un dominio di guerra privo di frontiere

Tutto questo ci coglie impreparati?

Direi di no? Noi esperti riteniamo da tempo che il conflitto in corso possa diventare fucina di nuove e pericolose armi. L’approccio corretto si fonda sul presidio delle infrastrutture critiche e la condivisione delle informazioni sulle minacce.

Il cyberspazio è di fatto un dominio di guerra privo di frontiere in cui, rispetto ad un conflitto convenzionale, è più complesso il tema dell’attribuzione. Ciò significa che un’arma può colpire in pochi secondi i sistemi obiettivo ed anche sistemi privi di adeguate protezioni in tutto il mondo, tutto ciò, spesso, senza avere certezza della natura dell’attaccante.

In questo contesto preoccupa la disponibilità di codici in grado di colpire sistemi Ics e Scada che potrebbero essere re-ingegnerizzati da altri attori nation-state, non necessariamente russi, per sferrare attacchi rendendo impossibile l’attribuzione.

Questi codici potrebbero anche esser intenzionalmente lasciati nelle mani di gruppi criminali vicine al governo russo che servendosi di questi mercenari eluderebbe eventuali sanzioni internazionali per l’uso di armi cibernetiche.

Concludo con una riflessione, i futuri attacchi a reti elettriche, e più in generale ad infrastrutture critiche, avranno una maggiore componente di automatizzazione e saranno più evasivi grazie all’adozione di sistemi basati su intelligenza artificiale, termine abusato ma che uso nell’accezione generica per evitare di dare indicazione di tecnologie distruttive sulle quali gruppi di lavoro sono già all’opera.

È necessario quindi prepararsi a sviluppare soluzioni di difesa idonee basate sulle medesime tecnologie per evitare potenziali catastrofi.

Si tratta di ipotesi, ma gli orrori di queste ultime settimane ci insegnano che la realtà supera spesso la più fervida immaginazione.

2

Articoli rimanenti

Accesso illimitato a tutti i contenuti del sito

3 mesi a 1€, poi 2.99€ al mese per 3 mesi

Attiva Ora

Sblocca l’accesso illimitato a tutti i contenuti del sito