Di attacchi alle infrastrutture critiche se ne parla da molto tempo, ma sicuramente l’attacco ransomware che ha costretto la Colonial Pipeline ha chiudere il proprio oleodotto ha destato molto scalpore. Negli ultimi dieci anni sono diverse le startup della Silicon Valley e di Israele che sono nate con il solo fine di mettere in sicurezza gli ambienti industriali, le infrastrutture critiche, le reti di controllo SCADA e DCS specializzate nei controlli di complessi e delicati processi e macchinari fisici.
Tante grandi organizzazioni, anche italiane, si sono mosse per tempo e si sono dimostrate all’altezza delle nuove sfide di cyber security: gli attacchi ransomware a doppia estorsione. Ad esempio, Enel nel 2020 ha fronteggiato con successo un pericoloso attacco cibernetico da uno dei più pericolosi gruppi criminali moderni: Netwalker, poi smantellato a gennaio 2021 dopo una complessa operazione di polizia coordinata dall’FBI americana.
Indice degli argomenti
Attacco a Colonial Pipeline: un caso emblematico
Non tutti gli operatori di infrastrutture critiche sono stati altrettanto efficaci: benché molto spesso le grandi aziende americane vengano idolatrate quando si parla di digitale e sicurezza cibernetica, il caso Colonial Pipeline è stato emblematico.
Mai si sarebbe atteso che un operatore così critico fosse colto tanto impreparato, tanto da permettere all’attacco a doppia estorsione di “spegnere” novemila chilometri di oleodotto, dal Texas a New York, lasciando per giorni un grave ammanco di carburante in tutta la costa orientale: circa il 45% degli approvvigionamenti transitano proprio da lì.
L’emblematicità del caso è molto più profonda di quanto emerge, quello che è successo dopo l’attacco ha lasciato un segno molto netto. L’attacco ha rappresentato un punto di svolta: c’è infatti un prima e c’è un dopo, un futuro dove utenti e aziende sono proiettate.
Risposta e reazione mai viste prime
Pochi giorni dopo il 6 maggio 2021, dopo l’esecuzione dell’attacco a doppia estorsione, l’effetto della crisi cyber di Colonial Pipeline era fuori controllo: il prezzo medio per un gallone di gas negli USA non era mai salito così in alto dal 2014.
Effetti tanto marcati, che non solo hanno visto FBI e CISA (Cybersecurity and Infrastructure Security Agency) direttamente coinvolte nelle operazioni di coordinamento e risposta all’attacco, ma tanto sono stati marcati i danni che persino Casa Bianca ed NSA sono stati costretti ad intervenire con azioni mirate.
Il danno non era solo economico: era a rischio la tenuta del tessuto socio-economico di intere aree.
Sembra eccessivo, lo so, ma nei fatti l’impatto è stato realmente così grave: il governo degli stati uniti ha infatti emanato provvedimenti di emergenza per rilassare le restrizione sul trasporto di carburante via gomma, abilitando autotrasportatori di 18 Stati ad aumentare il più possibile il trasporto di derivati dal petrolio.
Di fatto, si può dire che il caso Colonial Pipeline è stato un incidente di sicurezza che tra le azioni di risposta può “vantare” la modifica ad una legge a seguito della dichiarazione dello stato di emergenza (ESC-SSC-WSC – Regional Emergency Declaration 2021-002 – 05-09-2021). Situazione che, oltre che per la pandemia CoVid-19, abbiamo solamente visto accadere durante il terremoto dell’Aquila o in disastri naturali di questa portata.
È facile immaginare perché gli operatori del gruppo criminale DarkSide, autori del codice ransomware che è stato usato per condurre l’attacco, si siano immediatamente dissociati dall’attacco: non si aspettavano affatto un escalation di questa portata, il loro malware ha messo alla prova la tenuta del sistema socio-economico di una vasta area di una delle nazione più influenti al mondo. Avevano già compreso quanto le cose si sarebbero potute aggravare per loro.
Le preoccupazioni dei criminali sono state estremamente fondate. Il 10 maggio 2021 l’FBI ha confermato l’attribuzione dell’attacco al gruppo DarkSide e da lì a poco sono partiti i sequestri: i server di pagamento, il blog e le infrastrutture di attacco DoS sono state smantellate e i 75 Bitcoin del riscatto, perduti. Tutte le operazioni dei criminali sono state bruscamente distrutte.
Difficile dire quali leve sul piano geopolitico siano state adoperate dall’amministrazione americana per raggiungere azioni di contrasto così rapide, né quanto siano effettivamente costate all’amministrazione. Tuttavia ci sono alcuni elementi che rimangono impressi:
- il sequestro delle infrastrutture ha dimostrato che le azioni di contrasto possono essere efficaci e che la Threat Intelligence, la cooperazione tra strutture e lo scambio di informazioni hanno un ruolo chiave nel abilitarle;
- al contempo, le dichiarazioni dell’amministrazione americana puntano chiaramente il dito ad hacker che hanno operato dalla Russia, però su questo frangente le azioni di contrasto sono state meno efficaci.
Da questi due elementi emergono due sfumature che caratterizzano l’immensa complessità del dominio cibernetico: le sfere di influenza sono più marcate che mai. Azioni di contrasto efficaci richiedono pesi e contrappesi politici e geopolitici, collaborazioni internazionali e risorse ingenti, che spesso si decide di utilizzare solamente in casi molto precisi.
La scelta dell’amministrazione americana di attivarsi in azioni nette per contrastare un gruppo cyber criminale è molto significativa. Molto, ma molto più di quello che pare. Di fatti è stata tracciata una linea, un solco nella sabbia che non bisogna oltrepassare.
Attacco a Colonial Pipeline: il prima e il dopo
La linea che è stata tracciata rappresenta un punto di svolta fondamentale. Chi segue da tempo l’evoluzione delle minacce cibernetiche sa molto bene che le risposte della politica sono state tradizionalmente deboli.
Per anni non sono quasi mai stati mandati messaggi decisi alle controparti del panorama cyber. In passato, i furti di proprietà intellettuale ai danni delle aziende occidentali a matrice cinese sono nel tempo divenuti una prassi tollerata, nonostante i gravi danni, anche strategici, arrecati nel lungo periodo, le risposte e le azioni di contrasto non sono mai state troppo nette.
Lo stesso stava accadendo per le pratiche cyber criminali delle Double Extortion, tant’è che nel giro di due anni, gli attacchi distruttivi basati su ransomware sono diventati devastanti ed in molti casi non si tratta più di soli danni economici a privati. Specie dopo l’accelerazione della pandemia, i danneggiamenti stanno avendo sempre più ripercussioni sul funzionamento dei fondamentali della società.
La risposta dell’amministrazione americana ha creato un punto di rottura. È stato mandato un messaggio netto: “da qui, non sarà tollerato”.
Il mondo cyber criminale pare abbia recepito forte e chiaro il messaggio e le mobilitazioni non hanno tardato a mancare.
Negli ultimi giorni sono stati molteplici i gruppi organizzati che hanno dichiarato che adotteranno “cautele particolari” nell’attaccare infrastrutture critiche come Colonial Pipeline, ma anche strutture sanitarie ed organizzazioni governative con implicazioni sociali.
Al contempo, gran parte dell’ecosistema di forum underground che animano le comunicazioni e gli scambi cyber criminali hanno variato le proprie politiche eliminando e bandendo ogni tipo di annuncio legato ai ransomware.
Evidentemente, la preoccupazione dei sequestri è sentita, di denaro in circolazione negli ambienti criminali ce n’è tanto e molti ci vivono e si arricchiscono, ma non per questo dobbiamo sentirci al sicuro: il fenomeno non degli attacchi a doppia estorsione, dei furti di dati e del cyber crimine rimane un pericolo in forte crescita.
Conclusioni
Di certo il cyber crimine non cesserà di esistere dopo gli eventi di Colonial Pipeline. Anche se la risposta ha creato un punto di rottura con il passato ed ha mandato un messaggio netto, la strada è ancora in salita: è molto probabile che l’ecosistema cyber criminale si adatterà a questi nuovi limiti in modo da poter continuare rendere profittevoli le intrusioni informatiche.
La direzione che prenderà non è chiara: tuttavia, nei mesi, negli anni avvenire, è probabile che le azioni di estorsione a fronte di dati rubati cominceranno ad avere vita indipendente dagli attacchi ransomware.
Per quanto riguarda le strategie di sicurezza ad alto livello, quello che è accaduto a Colonial Pipe è molto interessante: il modo con cui è stata gestita la crisi, fino ad arrivare alla Presidenza, è un monito del perché la Direttiva NIS, il Perimetro di Sicurezza Cibernetico – e tutto ciò che ne è annesso – siano fondamentali per reagire con successo a situazioni cibernetiche estreme, ormai non più un lontano miraggio.
