Possiamo considerare gli anni 2000 come il momento d’inizio degli attacchi ICS (Industrial Control Systems, i sistemi di controllo industriale), quando con la standardizzazione della connettività dei sistemi di controllo industriale mediante protocolli TCP/IP si è realizzata la convergenza dell’IT con l’OT (Operational Technology). Da allora le cose sono diventate più sofisticate.
Ricordiamo che tra gli ICS ci sono ad esempio i sistemi SCADA (Supervisory Control And Data Acquisition) e i Controllori Logici Programmabili (PLC).
Indice degli argomenti
ICS e attacchi cyber
Secondo la ricerca Kaspersky Lab ICS CERT, le aziende del settore dell’energia sono state le più esposte a cyber minacce negli ultimi sei mesi del 2017 e le loro infrastrutture di controllo hanno rilevato almeno un tentativo di attacco malware all’anno nel 38,7% dei casi. Uno degli attacchi più famosi è stato BlackEnergy che ha colpito l’Ucraina il 23 dicembre 2015.
Ma quasi nessun settore è stato risparmiato.
Gli SCADA, in particolare, servono a monitorare e controllare da remoto impianti industriali ed infrastrutturali. Le vulnerabilità di cui sono affetti sono state la causa di molti attacchi mirati, di cui parleremo nel seguito. Altri attacchi hanno agito sui PLC, come il famoso Stuxnet.
Gli ICS gestiscono i processi fisici e vengono ampiamente utilizzati in molti settori industriali: oil and gas, centrali e reti elettriche, autostrade, i porti, gli aeroporti, le stazioni ferroviarie, le reti elettriche. Si parla – a ragione – di infrastrutture critiche.
Inizialmente i sistemi industriali avevano caratteristiche che li rendevano immuni dalle minacce cyber, non essendo collegati in rete mediante indirizzo IP e utilizzando per lo più protocolli proprietari.
Quando gli ICS sono stati connessi a Internet, assieme agli innegabili vantaggi sono comparsi rischi importanti per la loro sicurezza. Da un lato, i sistemi connessi sono più flessibili in termini di reazione rapida alle situazioni critiche e di implementazione degli aggiornamenti. Ma, dall’altro lato, queste infrastrutture, che gestiscono servizi vitali, hanno dimostrato la loro vulnerabilità agli attacchi cyber.
Vediamo quindi quali sono stati gli attacchi più noti fino ad oggi: sarà un’analisi ovviamente sintetica, poiché alcuni di questi richiederebbero ben più di un semplice articolo per essere spiegati in dettaglio.
SQL Slammer: il primo attacco ICS della storia
In questa storia entrano due protagonisti: uno è Microsoft SQL Server, un database relazionale per il quale nel giugno 2002 Microsoft rilasciò una patch per chiudere una vulnerabilità nota (si trattava di un errore di “buffer overflow”, in pratica la situazione in cui si trova un sistema quando non riesce a gestire la mole di dati che riceve). Molti ritennero non necessario installare la patch di sicurezza, così sei mesi dopo, a gennaio 2003, entrò in azione il secondo protagonista.
SQL Slammer è un “piccolo” malware di tipo Worm (cioè progettato per replicarsi il più velocemente possibile all’interno del sistema attaccato), grande appena 376 byte (poche righe di codice). Essendo così piccolo, riusciva ad arrivare come singolo pacchetto UDP (User Datagram Protocol, uno dei protocolli Internet di trasmissione dei pacchetti dati) ad interrogare SQL Server 2000, per accedere ai database gestiti da questo. Ma essendo la richiesta di SQL Slammer “malformata”, SQL Server (se non patchato con l’aggiornamento già rilasciato) andava in buffer overflow. A questo punto il sistema era infettato, con un effetto simile a quello di un attacco DoS/DDoS (Denial of Service/Distributed Denial of Service). Il worm SQL Slammer continuava la sua azione replicandosi a grande velocità e generando in automatico indirizzi IP su cui propagarsi.
Con questa tecnica, semplice ma efficace, SQL Slammer riusciva a raddoppiare le macchine infettate ogni 8,5 secondi. Dopo dieci minuti della sua uscita, aveva già attaccato e infettato 75.000 server. In appena 5 giorni, nei soli Stati Uniti, ha generato perdite economiche tra 950 milioni e 1,2 miliardi di dollari. Sono state colpite banche (Bank of America in particolare), ci sono stati disagi per il traffico aereo e la stessa rete Internet mondiale ha subito un rallentamento.
SQL Slammer è nato in anni nei quali i concetti di cyber warfare e cyber terrorismo erano ancora in embrione. Probabilmente era stato creato come malware generico, per attacchi di massa e non mirati. Nella pratica si è trasformato in una “cyber weapon” (un’arma cibernetica) in grado di mettere in crisi un’intera nazione.
Anno 2007: con gli attacchi ICS la guerra fredda diventa cyber
È stato il primo cyber attacco – noto – di una nazione contro un’altra.
I rapporti tra Russia ed Estonia sono sempre stati complicati, sin da quando quest’ultima ha acquisito la totale indipendenza nel 1991, a seguito del crollo dell’URSS.
Per dare un segno dell’indipendenza conquistata, il giorno 27 aprile 2007 la statua del soldato di bronzo con l’uniforme dell’Armata rossa (un monumento alto più di due metri, eretto nel 1947 in memoria dei soldati russi caduti nella Seconda Guerra Mondiale), viene spostata dal centro della capitale Tallin ad un cimitero militare.
Per questo gesto, il governo estone temeva una rappresaglia militare da parte della Russia, ma non successe nulla, a parte qualche protesta della minoranza russofona.
Nulla sul piano “convenzionale”, perché pochi giorni dopo si scatenò un cyber attacco senza precedenti.
Una massiccia ondata di attacchi DDoS bloccò i computer di banche, strutture governative e media nazionali, che erano connessi in rete.
La novità era che utilizzavano botnet, cioè insiemi di computer di ignari cittadini, infettati da un malware in grado di passare i comandi agli hacker. Gli attacchi furono lanciati a sciami, anche a distanza di giorni e si susseguirono per tre settimane su larga scala.
I servizi estoni si ritrovarono più volte nel totale blackout, per ripristinare tutto servirono poi diversi mesi. Gli investigatori estoni tentarono di percorrere a ritroso il cammino compiuto dagli attacchi: molti computer operavano dagli USA, ma l’Estonia faceva perfino parte della NATO ed era ormai filo-americana, quindi un attacco organizzato dagli Stati Uniti non avrebbe avuto senso. Molti altri computer, però, erano collocati in Russia, il principale indiziato.
Tallin ha incolpato la Russia dell’accaduto, ma senza mai spingersi ad un’accusa ufficiale, per non alzare ulteriormente la tensione con l’ingombrante vicino di casa. Anche USA e Nato, malgrado la disponibilità a prestare la loro assistenza tecnica e militare al Paese baltico, non hanno mai formalmente sostenuto le accuse.
Quell’attacco del 2007 ha segnato una svolta: l’Estonia, oggi, è lo stato più digitale dell’Unione Europea: migliaia di Wi-Fi pubblici velocissimi, consultazioni politiche on-line, il 90 per cento delle transazioni bancarie che avvengono via Internet, il 100 per cento delle scuole e degli uffici pubblici oggi hanno un computer e il 97 per cento degli affari si fanno on-line.
L’intera nazione è cablata in fibra ottica. Non a caso, il nome dello Stato viene spesso ironicamente deformato in “e-stonia”. La lezione del 2007 è stata utile.
Stuxnet: gli attacchi ICS mettono in ginocchio l’Iran
Stuxnet ha rappresentato una pietra miliare nel cyber warfare (guerra cibernetica), oltre che un esempio famoso di attacco ICS.
Come spiego nei miei corsi “La guerra del Terzo millennio non si combatterà con i carri armati ma con i computer” e con Stuxnet questo è già accaduto.
Una vicenda complessa, con risvolti “da film”. Ed in effetti l’attacco Stuxnet è raccontato anche nel film documentario “Zero Days” (2016) del regista premio Oscar Alex Gibney.
Nel gennaio 2010, nella centrale nucleare di Natanz in Iran, le centrifughe dedicate all’arricchimento dell’Uranio235 (per separarlo dall’isotopo 238) impazzirono, andando fuori controllo (da 1.064 giri/minuto passarono a 1.410 giri/minuto) ed esplosero. Questo mise fuori uso almeno 1.000 delle 5.000 centrifughe iraniane e comportò un ritardo di alcuni anni per il programma nucleare iraniano.
Cosa era successo?
Andiamo indietro al 2006, quando già il programma nucleare iraniano preoccupava Stati Uniti ed Israele. Il presidente Bush diede l’ordine segreto di effettuare un cyber attacco contro le centrali iraniane, per danneggiare il programma atomico iraniano senza scatenare una guerra convenzionale. Questa operazione, nome in codice “Giochi Olimpici”, fu poi proseguita dal presidente Obama.
L’attacco fu affidato a esperti americani della National Security Agency (NSA), in collaborazione con tecnici informatici israeliani (la mitica Unit 8200 dell’Israel Defense Force – IDF). Fu creato un malware micidiale, denominato Stuxnet, in grado di agire sui PLC Siemens Simatic S7-300, adibiti al controllo delle centrifughe (utilizzate per separare materiali nucleari come l’uranio arricchito). Le centrifughe nell’impianto di Natanz erano di tipo P-1, basate su vecchi progetti che il governo iraniano aveva acquistato dal Pakistan. Stuxnet agì nei primi mesi del 2010, nonostante la prima versione del software sembra essere datata – secondo Kaspersky – nel giugno 2009.
Il presidente iraniano Mahmud Ahmadinejad all’interno della centrale nucleare di Natanz.
Ma come aveva fatto un malware come Stuxnet ad entrare nella centrale di Natanz?
Ovviamente gli iraniani non erano così sprovveduti da mettere in rete le loro segretissime centrali. Il problema per gli attaccanti era perciò quello di riuscire a far entrare il malware a Natanz. Ormai sembra assodato che l’inizio del contagio da parte di Stuxnet sia avvenuto dall’interno della centrale stessa tramite una chiavetta USB infetta e data in mano ad un ignaro tecnico iraniano. Impiegando la chiavetta su vari PC, l’infezione si è poi propagata negli impianti, cercando il software industriale Step7 (realizzato dalla Siemens) che controllava i PLC della centrale e modificandone il codice.
Sempre nel 2010, versioni successive del virus Stuxnet colpirono altre cinque organizzazioni iraniane, con l’obiettivo di controllare e danneggiare la produzione iraniana di uranio arricchito. Oltre il 60 per cento dei computer infettati da Stuxnet nel 2010 erano in Iran.
In seguito all’infezione del virus nella centrale di Natanz, Stuxnet si è diffuso al di fuori dallo stabilimento nucleare. Sembra che sia stato Israele a voler potenziare il virus per renderlo più aggressivo e capace di propagarsi più facilmente. Forse troppo: al punto che un computer portatile contagiato nella centrale di Natanz, avrebbe poi portato il malware fuori dai sistemi interessati, provocando danni importanti su altre reti che utilizzavano i PLC Siemens Simatic, che non dovevano essere assolutamente tra gli obbiettivi dell’attacco. Stuxnet non avrebbe mai dovuto uscire da Natanz, e invece, andato fuori controllo, ha iniziato a diffondersi su internet. Obama si sentì dire: “Abbiamo perso il controllo del virus”.
Ormai scoperto, rilevato e analizzato dalle maggiori società di cyber security (Kaspersky, F-Secure, Symantec nel suo rapporto “W32.Stuxnet Dossier Version 1.3” – November 2010 ed altre), Stuxnet è stato immediatamente considerato come un virus “anomalo” e troppo sofisticato per essere stato creato da normali pirati informatici. I sospetti si sono subito concentrati su i servizi di intelligence americani e israeliani, gli unici in grado di realizzare un software con caratteristiche simili. A fine 2010 Stuxnet, o una sua variante, era venduto al mercato nero (nel Dark Web).
“The NSA and Israel wrote Stuxnet together”: nel luglio 2013 Edward Snowden ha confermato che Stuxnet è stato progettato dalla NSA con la collaborazione dell’intelligence israeliana, tramite un corpo speciale noto come Foreign Affairs Directorate (FAD).
Questa vicenda, ormai analizzata in ogni dettaglio, ha aspetti che la fanno assomigliare ad un inquietante film di guerra o di spionaggio.
Come ha scritto Raoul Chiesa: “quanti soldati, missili e carri armati sarebbero stati necessari per ottenere lo stesso risultato?”.
Nessuno ha mai rivendicato l’attacco né messo la propria firma su Stuxnet. Ma in realtà, forse questa “firma” esiste veramente. Quando gli analisti hanno sezionato il codice di Stuxnet hanno trovato diverse funzioni. Tra queste c’è la funzione numero 16 che contiene una variabile il cui valore è 19790509. Poiché a questa variabile, di puro controllo, poteva essere assegnato qualunque valore, perché proprio quel numero? Qualcuno ha scoperto che 19790509 corrisponde alla data 9 maggio 1979, che ha un significato molto preciso sia per l’Iran che per Israele: in quel giorno nella piazza di Teheran venne giustiziato Habib Elghanian, il capo della comunità ebraica iraniana. Fu una delle prime esecuzioni di ebrei da parte del nuovo regime khomeinista iraniano.
Non solo: in quel periodo, c’erano alcune centrifughe del tipo P-1 (come quelle di Natanz), installate, guarda caso, nella centrale israeliana di Dimona. Poche per scopi produttivi, ma sufficienti per fare dei test in un impianto pilota. E fornite ad Israele proprio dagli Stati Uniti (che le aveva recuperate dal programma nucleare libico).
Shamoon: il cybercrime mette in ginocchio l’Arabia Saudita
È la conferma che gli attacchi ai sistemi industriali prediligono il settore energetico.
Saudi Aramco è la compagnia di stato saudita per la produzione di petrolio, la maggiore al mondo. Lo era anche nell’agosto 2012, quando una mattina (15 agosto alle 11:08 ora locale), i dipendenti della compagnia si accorgono che alcuni file dei loro computer vengono cancellati sotto i loro occhi. In poche ore, Saudi Aramco non è più in rete. Ancora più devastanti le conseguenze per i pagamenti, per i quali la rete è ormai indispensabile: chilometri di camion-cisterna pieni di petrolio fermi, per il semplice motivo che non c’è modo di far pagare il loro contenuto. Solo i sistemi di estrazione, del tutto automatizzati e indipendenti da Internet, continuano a funzionare.
Viene scoperta la causa del problema da Seculert, la società israeliana che aveva individuato per prima Mahdi (un malware del 2011, con finalità di sabotaggio politico). Il malware viene dapprima denominato Disttrack, per prendere poi il nome di Shamoon.
Ancora una volta viene infiltrato attraverso e-mail di spear phishing, che porta con sé un nuovo malware.
Le caratteristiche di Shamoon: aveva un’elevata capacità di replicarsi e diffondersi ed era in grado di trasferire file dal computer della vittima a quello dell’attaccante, per poi cancellarli nel sistema originario. Come la maggior parte di questi prodotti, era un malware modulare, formato da tre moduli:
- Shamoon Dropper: è il modulo utilizzato per entrare nel sistema attaccato ed introdurvi (drop) gli altri due componenti.
- Shamoon Wiper: è il componente distruttivo (Wiper significa tergicristallo o anche strofinaccio), con l’installazione di un driver per sovrascrivere i dati. Riesce a scrivere nel Master Boot Record (MBR) del computer, in questo modo rendendo inservibile il computer stesso.
- Shamoon Reporter: questo riporta indietro all’attaccante le informazioni sui file che sono stati sovrascritti.
Saudi Aramco ha impiegato dieci giorni (fino al 25 agosto) per ripristinare gli oltre 30.000 sistemi basati su Windows che erano stati sovrascritti da Shamoon.
Chi è stato l’autore di un attacco del genere? È stato rivendicato da “Cutting Sword of Justice”, un gruppo di hacker islamici che chiedeva migliori condizioni di lavoro per i dipendenti di Saudi Aramco.
Chiunque sia stato, si è trattato di un cyber attacco perfetto nella tecnica e soprattutto nella capacità di colpire una risorsa economica mondiale: il petrolio.
Secondo Symantec, Shamoon è ricomparso a sorpresa nel novembre 2016 ed è stato coinvolto in un nuovo attacco il 23 gennaio 2017. Si è parlato di Shamoon 2.
BlackEnergy, gli attacchi ICS diventano “da manuale”
Sebbene non abbia generato danni importanti, ne parliamo in dettaglio, perché si è trattato di un attacco ICS “da manuale”.
23 dicembre 2015 ore 15:35: la Ukrainian Kyivoblenergo, un distributore regionale di elettricità, subisce un attacco hacker. Vengono poi in breve tempo colpiti i sistemi di almeno 3 operatori elettrici regionali.
Sette sottostazioni a 110 kV e ventitré a 35 kV vengono disconnesse per oltre tre ore. La metà delle abitazioni nella regione di Ivano-Frankivsk rimane senza corrente. Si stima che siano state colpite circa 225.000 persone.
L’attacco, proveniente da un paese straniero, prende il controllo da remoto dei sistemi SCADA delle centrali. Per ripristinare il servizio, i gestori sono dovuti passare al controllo manuale degli impianti.
L’agente usato è stato il trojan BlackEnergy con funzionalità backdoor. È un malware modulare che può scaricare varie componenti per completare specifiche attività. Nel 2014 era stato usato per una serie di attacchi di cyber spionaggio verso bersagli di alto profilo legati al governo ucraino.
Secondo il dettagliato rapporto redatto da E-ISAC e SANS “Analysis of the Cyber Attack on the Ukrainian Power Grid” (18 Marzo 2016), gli attaccanti hanno dimostrato di conoscere e saper sfruttare un ampio campionario di tecniche per portare a termine l’offensiva:
- in primo luogo, l’uso di e-mail di spear phishing per accedere alle reti aziendali dei tre gestori (e qui ritorna, come in qualsiasi attacco, il fattore H, l’errore umano);
- l’introduzione della variante del malware BlackEnergy 3 in ciascuno dei gestori interessati, utilizzato in combinazione con il nuovo plug-in KillDisk (Win32/KillDisk) dotato di capacità distruttive (overwriting di oltre 4.000 tipologie di file), in grado quindi di sovrascrivere il sistema operativo e bloccare un sistema;
- il furto di credenziali dalle reti aziendali;
- l’uso di reti private virtuali (VPN) per accedere alla rete ICS
- la manipolazione dei documenti di Microsoft Office che contenevano il malware per inserirsi nelle reti IT (Information Technology) delle aziende elettriche
- la capacità di prendere il controllo dei sistemi UPS per generare un’interruzione del servizio: in almeno uno dei gestori, gli aggressori hanno scoperto una rete collegata a un UPS e l’hanno riconfigurata in modo che quando c’è stata l’interruzione di corrente, è stata interrotta l’alimentazione degli edifici o dei centri dati/armadi dell’azienda energetica
- un attacco di tipo denial-of-service telefonico al call center, per bloccare i collegamenti telefonici.
È stato quindi un attacco “corale”, ben progettato e condotto da specialisti. I servizi segreti dell’Ucraina hanno subito incolpato dell’incidente la Russia, anche a causa dei pessimi rapporti i due paesi (poco prima c’era stata l’annessione della Crimea da parte della Russia). Ma come quasi sempre in questi eventi, è difficile arrivare ad un’attribuzione certa, perché gli attacchi non vengono mai rivendicati. Al contrario, spesso vengono seminate ad arte false tracce, per depistare le indagini.
Non è chiaro neppure perché siano stati scelti proprio quei tre gestori, se cioè gli obiettivi siano stati selezionati in base alle tecnologie comuni utilizzate, alle architetture di sistema o, forse, in base al territorio.
Questi incidenti dovrebbero essere classificati di basso impatto, poiché l’interruzione ha colpito un numero relativamente ridotto (225.000) di consumatori di energia e la durata è stata limitata (alcune ore). in realtà, è lecito che le imprese colpite considerino questi incidenti come gravi o critici per l’affidabilità dei loro sistemi e per il danno commerciale subito.
Ma l’aspetto più grave è che BlackEnergy ha dimostrato di poter colpire i sistemi Scada e bloccarli, con rischi molto forti in termini di sicurezza nazionale.
Oltre a poter eliminare i file di sistema per impedirne il riavvio, questa variante (KillDisk) conteneva un codice ideato specificamente per sabotare sistemi industriali, sovrascrivendo i file dei programmi eseguibili.
Nel dicembre 2016 l’attacco si è ripetuto, l’impatto è stato più leggero rispetto a quello del 2015, con un blackout di circa un’ora. Pare che sia stato portato dagli stessi dell’anno prima, non per creare danni, ma più probabilmente come test per future azioni.
Mirai: attacchi DDoS mediante botnet di dispositivi IoT
21 ottobre 2016: almeno due attacchi DDoS vengono sferrati contro Dyn, azienda del New Hampshire che fornisce la gestione dei DNS, utilizzando una botnet (Mirai) di oltre 500.000 dispositivi di IoT (webcam, termostati, lampadine, ecc.), con una potenza di circa 1.200 Gbps.
Molti siti web sono stati resi inaccessibili: Twitter, eBay, New York Times, Financial Times, Spotify, Github, alcuni circuiti Visa, Netflix, Reddit e molti altri.
La botnet MIRAI (in giapponese significa “futuro”) sembra sia stata creata da un hacker di nome Anna-Senpai. Passa al setaccio Internet andando a caccia di apparecchi IoT. Quando ne trova uno, verifica se nome utente e password di accesso al software di gestione siano quelli predefiniti di fabbrica. Se è così, entra e ne prende il controllo, sfruttando, come sempre in questi attacchi, le password deboli e non univoche.
Del mezzo milione di dispositivi infettati da Mirai, il 29% si trova negli Stati Uniti, il 23% in Brasile e l’8% in Colombia. Si sospetta che l’attacco sia venuto dalla Russia.
WannaCry: il ransomware che ha fatto piangere il mondo
La sera di venerdì 12 maggio 2017 è stata la notizia con cui hanno aperto tutti i telegiornali: un attacco hacker dalla velocità fulminante aveva paralizzato il sistema sanitario (NHS) della Gran Bretagna.
Non si può considerare un attacco ICS in senso stretto, ma piuttosto un ransomware molto aggressivo. Citiamo comunque WannaCry in questo elenco soprattutto perché ha messo in grave crisi infrastrutture critiche quali sono gli ospedali.
Qui ricordiamo solo l’impatto dell’attacco di quel venerdì 12 maggio: 300mila computer infettati in oltre 150 stati. Uno dei paesi più colpiti è stata la Gran Bretagna, dove almeno 25 ospedali si sono trovati con l’intero sistema informatico paralizzato da WannaCry: questo ha significato cartelle cliniche (che oggi non sono più su carta, ma elettroniche) inaccessibili, impossibilità di eseguire esami ed interventi. I medici hanno dovuto annullare visite, rimandare a casa i pazienti meno gravi e dirottare su altri ospedali quelli più gravi. L’intero NHS (National Health Service, il sistema sanitario britannico) è stato messo in ginocchio, anche se non risultano casi di morte.
Ma l’attacco di WannaCry non ha colpito solo la Gran Bretagna: si sono registrati attacchi in tutta Europa e nel resto del mondo. Tra gli altri Nissan e Renault in Francia, la società di telecomunicazioni Telefonica, Iberdrola e le banche BBVA e Santander in Spagna, FedEx in USA e molti altri. In Germania sono stati colpiti i computer della Deutsche Bahn (le ferrovie tedesche). In Giappone è toccato a Hitachi, Nissan e East Japan Railway. In Russia colpiti RZD (Russian Railroad), la banca VTB, Megafon. Anche l’Italia entra nell’elenco con l’Università Bicocca a Milano (che a quanto risulta è stata attaccata attraverso una chiavetta USB contenente il malware).
Un mese dopo, il 27 giugno, l’attacco è stato replicato da NotPetya, che aveva caratteristiche simili e che ha pesantemente danneggiato l’attività di colossi multinazionali, quali AP Moller-Maersk (danni dichiarati per 250-300 milioni di dollari, con 4.000 server e 45.000 PC da reinstallare), Merck (farmaceutica, con interruzione dell’operatività a livello mondiale), Reckitt Benckiser (minori vendite per circa 110 milioni di sterline).
Triton e Triconex: i virus di stato di nuova generazione
Negli ultimi mesi del 2017, viene scoperto da FireEye (un’azienda statunitense di sicurezza di reti informatiche) un sofisticato malware chiamato Triton, con il quale è stato attaccato il sistema di sicurezza di una non specificata “infrastruttura critica”, probabilmente una centrale elettrica. Non è stato chiarito di che tipo di infrastruttura si tratti né della sua ubicazione: la società di sicurezza informatica Dragos dice che gli hacker hanno attaccato un’organizzazione in Medio Oriente mentre una seconda azienda, CyberX, ha affermato che la vittima si trova nello specifico in Arabia Saudita.
Si sospetta comunque che si tratti dell’ennesimo “virus di stato” creato ad hoc per portare azioni di sabotaggio mirate.
Triton prende di mira i dispositivi SIS (Safety Instrumented System) Triconex di Schneider Electric, utilizzati nel settore energetico (da qui il sospetto che l’attacco sia stato condotto contro una centrale elettrica).
Schneider ha confermato l’incidente e ha detto di aver emesso un avviso a tutti coloro che usano i sistemi Triconex, in quanto Triton è programmato per provocare incidenti all’interno di impianti industriali.
Nell’evento descritto da FireEye, i sistemi hanno reagito all’attacco avviando una procedura di fermo di emergenza che ha impedito danni più gravi. Ma nel caso in cui l’attacco avesse avuto successo i danni fisici (forse anche in termini di vite umane) sarebbero stati decisamente “importanti”.
FireEye nel suo report spiega che Triton è un malware che utilizza due distinti moduli: Triton.exe e Library.zip. Il file eseguibile usa i dati contenuti nell’archivio compresso per eseguire i comandi diretti ai componenti Triconex. Questo viene fatto utilizzando il protocollo TriStation, cioè quello usato normalmente per gestire i controller SIS.
Questo significa che gli autori hanno avuto la possibilità di creare Triton, utilizzando informazioni riservate riguardo alle tecnologie utilizzate dai dispositivi SIS Triconex.
Una situazione che ricorda molto da vicino l’attacco Stuxnet (di cui abbiamo parlato precedentemente), dove i servizi segreti statunitensi e israeliani hanno preparato con cura il malware, testandolo in una centrale nucleare “pilota”, creata appositamente con le stesse caratteristiche della centrale di Natanz, che era l’obbiettivo dell’attacco.
I consigli giusti per proteggersi dagli attacchi ICS
L’architettura SCADA è nata negli Anni 50, molto prima della comparsa della rete internet.
Per tale motivo questi sistemi di controllo erano definiti “monolitici”: erano isolati, controllati da PLC, ma senza alcuna connessione. Nelle successive generazioni SCADA i sistemi sono stati connessi alla rete, ma spesso senza essere progettati con meccanismi in grado di prevenire accessi non autorizzati o di affrontare la continua evoluzione delle minacce derivanti da reti interne ed esterne.
In altre parole: le reti industriali sono divenute sempre più complesse, con decine ed a volte centinaia di dispositivi connessi (PLC, sensori, PC, switch, router, ecc.), ma senza un progetto preciso.
Si trascurano le “best practices” che vengono applicate nelle normali reti aziendali e si realizzano quindi reti “piatte”, prive di segmentazione e di segregazione degli asset più critici.
Spesso queste reti non vengono neppure protette dai firewall che agiscono sulla rete dei computer aziendali.
I sistemi SCADA frequentemente vengono installati su vecchi PC e “dimenticati”: si trascurano le patch di aggiornamento, con sistemi operativi ormai obsoleti.
Sono ancora molto diffusi Windows XP (non più supportato da Microsoft dall’aprile del 2014) e Windows Server 2003 (supporto terminato dal luglio 2015).
E inoltre: a volte mancano antivirus/antimalware, perché non previsti o non compatibili con le applicazioni. Oppure si pensa di avere l’antivirus attivo, ma in realtà le definizioni non vengono più aggiornate.
E quasi mai la rete viene “chiusa”: ci sono porte USB accessibili, le porte di sistema vengono lasciate aperte (magari per l’accesso remoto di manutentori) o addirittura dimenticate aperte.
In conclusione, l’approccio con cui si progettano e si gestiscono gli ICS è molto di tipo “industriale” e molto poco rivolto alla sicurezza, come se questi impianti fossero ambientati in un mondo dove il cyber rischio ancora non esisteva.
È necessario cambiare completamente questo atteggiamento e considerarli alla pari delle reti informatiche, con la consapevolezza che – in caso di attacco – l’impatto potrebbe essere addirittura più grave.