Molti analisti prevedono che la guerra in corso potrà essere affiancata da attacchi cyber devastanti visto che da molti anni la Russia ha utilizzato l’Ucraina come un laboratorio dove sperimentare strategie e strumenti di attacco informatici.
C’è già un primo esempio di malware, HermeticWiper avvistato in Ucraina. E dal 2015 al 2017, la Russia ha eseguito attacchi data wiping, cioè per cancellare tutti i dati esistenti sui sistemi contro l’Ucraina.
Non a caso le autorità italiane preposte già avvisano del rischio di diffusione malware e attacchi anche da noi, come conseguenza della guerra, e raccomandano azioni di mitigazione (vedi sotto).
HermeticWiper attacca l’Ucraina, allarme anche in Italia: come difendersi
Indice degli argomenti
Come funzionano gli attacchi malware distruttivi
Questi attacchi sono strutturalmente simili agli attacchi ransomware e talvolta si sono mascherati anche da ransomware richiedendo un riscatto alle vittime. A differenza dei ransomware però, lo scopo in questo caso è quello di rendere il sistema inutilizzabile e quindi l’attacco è stato progettato in modo che non sia possibile recuperare le informazioni che non sono state cifrate ma cancellate.
In questi attacchi sono stati usati malware via via più complessi ma anche più flessibili e con strategie sempre più sofisticate che non richiedevano interazioni con un controllore umano. Si è passati ad esempio dall’attacco ad impianti secondari per la distribuzione dell’energia elettrica ad attacchi ad una singola stazione per più di 200 megawatt.
Secondo gli analisti che lo hanno analizzato la versione finale del malware, “CrashOverride,” era uno strumento di attacco sofisticato e specializzato per la griglia elettrica. Questi attacchi sono stati attribuiti a Sandworm, un gruppo successivamente identificato dagli Stati Uniti come un gruppo operativo della agenzia di intelligence militare russa, GRU. Negli stessi anni, attacchi attribuiti a Sandworm hanno danneggiato un grande numero di sistemi nei sistemi delle utility ucraine, nelle agenzie informative, nei trasporti ed uffici governativi.
NotPetya
Alcuni degli attacchi contro l’Ucraina avevano forse lo scopo di impedire la privatizzazione della produzione e distribuzione di energia elettrica che avrebbe danneggiato alcuni autocrati russi. Questi attacchi sono culminati in NotPetya, un worm distruttivo che si è diffuso dall’Ucraina nel 2017 ed il cui principale mezzo di diffusione si ritiene sia stato un pacchetto di aggiornamenti corrotto di uno strumento di contabilità M.E.Doc dell’azienda informatica Intellect Service. Nel 2017, M.E.Doc era utilizzato dall’80% delle aziende che operavano in Ucraina e dai loro clienti. Siamo quindi di fronte ad un attacco di tipo supply chain dove un fornitore viene attaccato per includere nei suoi prodotti del malware che viene poi distribuito ai vari clienti.
HermeticWiper: come funziona il nuovo malware
Come previsto l’attacco russo è stato preceduto da un attacco DOS su ministeri ed aziende ucraine ed accompagnato da un attacco distruttivo implementato da un malware di tipo wiper, battezzato HermeticWiper, che viene distribuito su gruppi di sistemi ed utilizza, abusa di, un driver, EaseUS driver, per non usare l’interfaccia di Windows.
La distribuzione del driver è possibile grazie ad un attacco al dominio amministrativo Windows. Come in altri attacchi precedenti, il malware rende inutiljizabile i primi 512 byte del master boot record di ogni disco del sistema sovrascrivendo una stringa di byte generata casualmente. Vengono quindi usate strategie diverse per rendere inutilizzabili partizioni FAT o NFTS. Il malware comprende anche codice che dovrebbe accedere alle informazioni del sistema ma queste funzioni non sono ancora chiare. La dimensione complessiva del wiper è di 114 kb.
In passato, tecniche simili sono state utilizzate per attacchi alla società Aramco da APT33, un gruppo con legami iraniani, e da Lazarus, un gruppo con legami nord coreani. Da una prima analisi risulta che il malware sia stato creato il 28 dicembre scorso ed e che sia firmato mediante il certificato di una azienda, Hermetica Digital Ltd, con sede a Cipro che non ha mai firmato altro software. ESET che a per prima segnalato il malware lo identifica con Win32/KillDisk.NCV.
È facile prevedere che il malware si diffonderà anche ai paesi confinanti e per questa ragione lo CSIRT Italia ha già comunicato gli indicator of compromise ed ha confermato il pressante, e molto ottimistico, invito ad aumentare le difese informatiche adottate.
Sostanzialmente NotPetya cancellava il boot record e la sua diffusione è stata molto veloce perché la nuova versione del malware utilizzava EthernalBlue, codice sviluppato da NSA e che sfutttava una vulnerabilità del protocollo SMB della Microsoft. È questo uno dei primi esempi che hanno confermato l’estrema flessibilità delle armi informatiche: chi è il bersaglio di un malware può trasformarlo facilmente in un arma contro chi lo aveva progettato e diffuso. L’arma è stata molto efficace anche se Microsoft aveva rilasciato da tempo una patch per risolvere la vulnerabilità ma, come sempre accade, molti degli utenti colpiti non avevano ancora applicato la patch ai loro dispositivi.
Successivamente, è stata sviluppata una nuova versione di NotPetya più flessibile attacca utilizzando credenziali rubate. NotPetya si è però diffuso anche fuori dall’Ucraina attaccando anche ditte che avevano sedi in Ucraina ma che operavano in tutto il mondo. Uno dei casi più eclatanti è stato quello della Maersk, la ditta di logistica i cui sistemi sono stati cancellati da NotPetya e che ha potuto ricostruire tutto solo perche in una sede africana c’era un domain controller non collegato quando l’attacco ha avuto luogo. Altri attacchi hanno coinvolto aziende e enti operanti nel settore della salute come aveva fatto WannaCry, un’altra creatura di Sandworm.
Lo spreading di NotPetya fuori dall’Ucraina rivela che chi ha sviluppato il malware non aveva inserito nel malware tutti quei controlli che erano ad esempio presenti in Stuxnet e che garantivano che l’attacco sarebbe avvenuto solo contro uno specifico sistema con precise caratteristiche descritto in un modello rappresentato da una struttura dati nel malware stesso. Grazie a questi controlli, Stuxnet si è diffuso ma non ha danneggiato nulla al di fuori del suo bersaglio. Come ha detto qualcuno, è evidente che dietro gli sviluppatori di Stuxnet c’era un forte ufficio legale che ha imposto precise regole di ingaggio per garantire che solo uno specifico impianto sarebbe stato danneggiato.
Sandworm
Gli analisti hanno anche attribuito a Sandworm, che avrebbe quindi sfruttato l’esperienza acquisita nella palestra Ucraina, attacchi a vari soggetti in Francia durante la campagna elettorale del presidente Macron, attacchi contro l’infrastruttura delle Olimpiadi Invernali del 2018 e il defacement di migliaia di siti in Georgia. Tutte queste azioni sono quelle che hanno portato all’incriminazione da parte del ministero della giustizia USA di sei militari russi e fanno parte di quella che, con un termine ancora vago ed ambiguo, viene indicata come hybrid war, una strategia di attacco che comprende azioni fisiche, attacchi cyber e diffusione di fake news mediante strumenti digitali e tradizionali. Il termine vago che si usa è forse proprio dovuto al fatto che siamo ancora in una fase sperimentale, di palestra, dove si sta ancora valutando l’efficacia del singolo meccanismo e la miscela ottimale dei meccanismi nella strategia di attacco complessivo.
I danni della guerra ibrida
Anche se molte discussioni sono ancora in corso sulla efficacia della hybrid war e quindi sulla convenienza per uno stato di sostituire attacchi di classe hybrid war a quelli di una guerra tradizionale, indubbi sono i danni che un attacco cyber ben progettato può provocare. Ad esempio, la Maerck una ditta farmaceutica ha appena vinto una causa legale contro la sua assicurazione che dovrà pagare circa 1.4 miliardi di dollari di danni e FedEx ha subito danni simili. Inoltre, NotPetya avrebbe causato danni in Ucraina pari circa a mezzo punto del PIL della nazione.
Un primo attacco wiper che non cripta ma cancella le informazioni è già stato denunciato dall’Ucraina in gennaio. In questo caso il wiper cancellava inizialmente il boot record e quindi tutti i file nel sistema target siano essi documenti Word, html o php. Il wiper lasciava anche una nota chiedendo un riscatto, ovviamente inutile. L’Ucraina ha attribuito l’attacco del wiper ed il defacement di alcuni siti web governativi ad un gruppo associato ai servizi speciali della Bielorussia. Ha anche attribuito alla Russia alcuni attacchi di tipo DDOS anche se non erano particolarmente rilevanti nel panorama complessivo di questo tipo di attacchi.
È comunque facile prevedere un crescendo di attacchi ransomware e viper almeno come preambolo o come supporto ad altre azioni.
I bersagli
Una prima conferma è venuta dal segretario generale della NATO Lloyd Austin secondo il quale “prima di un attacco ci aspettiamo di vedere cyber attacchi, attività di false flag, un incremento della retorica nello spazio informativo. E iniziamo a vedere sempre più questo”. Una ulteriore conferma è un avviso di pochi giorni fa della banca centrale europea alle varie banche su possibili attacchi da attaccanti sponsorizzati da stati. Quasi contemporaneamente, Cisa, la agenzia federale US per la sicurezza delle infrastrutture, FBI, NSA e le agenzie corrispondenti agenzie di Australia e UK hanno emesso un avviso congiunto sulla possibilità di attacchi ad infrastrutture informatiche ed infrastrutture critiche. Secondo questo avviso gli attaccanti potrebbero avere come bersaglio:
- infrastrutture cloud;
- Managed System Provider, cioè gestori esterni di servizi come sicurezza e monitoraggio di infrastruture come passo intermedio per raggiungere i loro clienti ed i sistemi monitorati;
- sistemi di controllo industriale;
- fornitori di software come in un classico supply chain attack.
Le contromisure
Le agenzie forniscono anche una lista di contromisure da applicare per ridurre o eliminare il rischio dovuto ad attacchi. La lista è ormai ben nota e comprende strategie quali l’applicazione di patch, la segmentazione delle reti, hardening dei sistemi, autenticazione a più fattori e controllo del traffico in uscita.
L’agenzia nazionale sulla cybersicurezza si è mossa in modo analogo invitando le aziende italiane ad applicare un insieme di contromisure che sembrano soprattutto pensate per attacchi ransomware. Anche se il nostro paese non è in prima linea, l’esperienza passata di NotPetya e WannaCry indica che le armi informatiche difficilmente possono essere controllate adeguatamente da chi le usa e viaggiano molto velocemente in Internet diffondendosi senza tener conto di distanze fisiche o di frontiere tra stati.
Le contromisure suggerite sono divise in due classi quelle organizzative procedurali e quelle tecniche vere e proprie. Quelle organizzative-procedurali definiscono modalità di accesso ai sistemi, utilizzando privilegio minimo e creando zone demilitarizzate per separare i propri sistemi da quelli dei partner. Suggeriscono anche di predisporre piani di emergenza e di gestioni di incidenti, verificando con esercitazioni la loro efficacia. Si tratta di ottimi suggerimenti, anche se notiamo la mancanza di indicazioni su utilizzo di soluzioni zero trust che potrebbero essere particolarmente efficaci in questo contesto. Il dubbio che sorge è quello sui tempi necessari per implementare i suggerimenti e quello della diffusione di un nuovo NotPetya.
Se è possibile applicare a breve misure quali:
“Identificazione dei flussi informativi e delle componenti direttamente interconnesse con partner e/o localizzate presso reti ucraine”.
Ma è difficile pensare che indicazioni come “Creazione, aggiornamento, mantenimento ed esercizio periodico di capacità di incident response, di un piano di continuità operativa e resilienza in caso di perdita di accesso o controllo di un ambiente informatico (IT) e/o operativo (OT)” possano essere applicate in un tempo tale da permettere una difesa efficace negli intervalli di tempi in gioco.
Nello stesso modo è ragionevolmente possibile nei tempi brevi “incrementare le attività di info-sharing con le strutture di sicurezza informatica con particolare riferimento allo CSIRT Italia”,
mentre più difficile, ed un poco criptico, appare “Prestare particolare attenzione alla protezione degli ambienti cloud prima di trasferire file rilevanti per le attività della propria organizzazione. Inoltre, si raccomanda di utilizzare i controlli di sicurezza resi disponibili dalle piattaforme cloud”.
Non è chiaro se chi deve prestare attenzione alla protezione degli ambienti cloud sia il cliente o il provider. Anche in questo caso, se il provider non offre meccanismi adeguati, rimediare è un processo a medio-lungo termine e non certo a breve.
Le misure tecniche che suggeriscono alcune attività di monitoraggio e l’adozione generalizzata della autenticazione a più fattori. Anche in questo caso valgono considerazioni simili alle precedenti.
“Prioritizzare il patching di sistemi esposti ad internet”: difficile non essere d’accordo ma difficile raccogliere il suggerimento se l’azienda o l’ente non utilizza strumenti di patching ed non ha definitio un insieme di strategie per scegliere da dove partire.
“Prioritizzare le analisi a seguito di individuazione di codice malevolo (es. Cobalt Strike e webshell)” è un altro ottimo suggerimento visto il pesante uso che gli attaccanti fanno di questi strumenti, ma richiede strumenti di monitoraggio in grado di analizzare codice malevolo e di riconoscere le varie webshell e le reverse shell. Una capacità spesso rara anche in grandi aziende ed ancora più rara in aziende medio piccole che sicuramente hanno contatti con Ucraina e connessioni con reti che possono essere facilmente infettate dall’Ucraina.
Per la PA raccogliere i suggerimenti è forse ancora più complesso perché nel dicembre del 2020, CERT-Agid segnalava che su circa 20.000 siti della PA esaminati 445 (2%) non avevano HTTPS abilitato, 13.297 (67%) avevano gravi problemi di sicurezza e 4.510 (22%) avevano un canale HTTPS mal configurato. Sicuramente la situazione è migliorata dopo più di un anno ma una soluzione completa richiede una prospettiva a medio-lungo termine.
A parziale consolazione, un report sul devastante attacco ransomware che ha colpito la sanità irlandese indica le gravi carenze che hanno permesso quest’attacco e che comprendono la mancanza di un CISO, la mancanza di una strategia di patching e di capacità di monitoraggio e rilevazione di intrusioni e l’esistenza di circa 30.000 computer che utilizzavano sistemi operativi non più supportati.
In conclusione
Complessivamente è evidente che la situazione attuale tra Ucraina e Russia potrebbe essere un’ottima occasione in Italia, ma non solo, di iniziare un percorso di crescita che permetta, nel medio lungo termine, di aumentare la robustezza delle infrastrutture private pubbliche e private. In questo processo si colloca perfettamente la formazione di professionisti sui temi di cyber security.
L’inizio di un processo virtuoso che favorisca l’adozione di soluzioni strutturate per la valutazione e gestione del rischio informatico da un lato e la creazione di professionisti con le adeguate competenze è fondamentale per aumentare la resilienza del sistema paese e sarebbe un ottimo ed inatteso risultato della attuale crisi.
