Negli anni ’70 era una guerra a fare alzare i costi del petrolio, nel 2021 può essere un attacco ransomware. Dà il senso nella nuova epoca in cui siamo, e di cosa conta ormai per la tenuta degli equilibri economici e geopolitici, la vicenda che ha riguardato l’operatore del più grande oleodotto tra il Texas e New York, Colonial Pipeline.
L’oleodotto è stato chiuso dopo un attacco ransomware e non si sa quando si riaprirà. I prezzi sono già ai massimi degli ultimi tre anni.
Indice degli argomenti
Cosa sappiamo dell’attacco all’oleodotto
Colonial Pipeline, che ha chiuso l’oleodotto venerdì, ha riconosciuto sabato di essere stata vittima di un attacco ransomware da parte di un gruppo criminale, che avrebbe tenuto in ostaggio l’azienda in attesa del pagamento di un riscatto. Colonial Pipeline, finora, non ha rilasciato alcuna comunicazione ufficiale in merito ad un eventuale pagamento. A quanto sembra, però, l’azienda avrebbe già pagato un riscatto di 5 milioni di dollari agli autori dell’attacco ransomware. A rilevarlo è Bloomberg, che cita due fonti a conoscenza della transazione finanziaria.
Il pagamento, specifica Bloomberg, sarebbe stato fatto in criptovalute per garantire la non tracciabilità delle somme. Una volta ricevuto il pagamento, gli attaccanti avrebbero quindi fornito alla società americana uno strumento di decrittografia che ha consentito il ripristinato della piena funzionalità della rete di computer.
L’arresto dell’oleodotto di 5.500 miglia è stato un segno preoccupante che l’infrastruttura energetica degli Stati Uniti è vulnerabile ai cyberattacchi di gruppi criminali o nazioni.
L’attacco – il secondo che riesce a chiudere un gasdotto in poco più di un anno – secondo i funzionari della Casa Bianca non sembra basarsi su quelle tecniche altamente sofisticate che caratterizzano i cyber criminali di Russia e Cina.
Piuttosto che cercare di prendere direttamente il controllo degli oleodotti, gli aggressori si sono concentrati su ciò che i funzionari hanno definito “dati aziendali scarsamente protetti”. Ne hanno rubati così tanti – oltre a bloccarli – al punto da costringere la società a chiudere l’oleodotto.
Commenta Alberto Pelliccione, fondatore di Reaqta: “L’attacco di per sé non ha causato l’interruzione della distribuzione del carburante, tuttavia l’azienda ha scelto – giustamente – di fermarne l’erogazione col timore che gli attaccanti potessero crear danni all’infrastruttura, o peggio muoversi nel network fino a raggiungere la rete clienti, in una sorta di doppio supply-chain attack diretto verso l’alto ai fornitori, e verso il basso ai distributori. Lo schema utilizzato dal gruppo, noto come DarkSide e posto nei Paesi dell’ex Unione Sovietiva, è quello diventato classico durante lo scorso anno: cifratura dei dati dell’infrastruttura con richiesta di riscatto, e relativa minaccia di diffusione dei dati rubati. Ma l’impatto è andato ben oltre”.
Darkside in seguito ha diramato una nota di scuse, affermando di non essere legati a nessuno Stato, di essere interessati solo al denaro e non alla distruzione di infrastrutture.
La reazione del presidente Usa
Il presidente americano Joe Biden ha dichiarato lo Stato di emergenza, per risolvere il rischio di una carenza di fornitura di petrolio e nel contempo ha annunciato un rafforzamento della strategia cyber, con un nuovo ordine esecutivo presidenziale. Una via che aveva già imboccato dopo il caso SolarWinds, che pure dimostrava le profonde vulnerabilità delle infrastrutture americane agli attacchi cyber.
Come proteggere le infrastrutture critiche: una nuova strategia
Non bastano nuovi investimenti, in competenze cyber. Serve anche un diverso approccio. Il mese scorso, i dirigenti di Amazon, Microsoft, Cisco, FireEye e decine di altre aziende si sono uniti al Dipartimento di Giustizia nella scrittura di un rapporto di 81 pagine che chiede l’avvio di una coalizione internazionale per combattere il ransomware.
Tra le raccomandazioni del rapporto della coalizione di aziende c’è quella di fare pressione sui paradisi del ransomware, come la Russia, per perseguire i criminali informatici utilizzando sanzioni o restrizioni sui visti di viaggio. Raccomanda anche che le forze dell’ordine internazionali si uniscano per ritenere gli scambi di criptovalute responsabili secondo le leggi sul riciclaggio di denaro e “conosci il tuo cliente”.
L’ordine esecutivo cerca anche di colmare i punti ciechi nelle difese informatiche della Nazione e mira a promuovere una collaborazione e condivisione di informazioni tra mondo pubblico e privato. Una strada già perseguita dall’Europa, anche se pure da noi si avverte la necessità di potenziare questa collaborazione.
Teniamo anche conto che negli Stati Uniti, come altrove, gli oleodotti non sono tenuti sotto una stretta sorveglianza cyber (su misure minime da rispettare ad esempio), a differenza delle reti energetiche e altre infrastrutture critiche. Un altro punto che potrebbe cambiare con la nuova strategia USA.
Perché quest’attacco è un campanello d’allarme
“L’attacco a Colonial Pipeline ha mostrato come una campagna ransomware può avere effetti, magari inaspettati anche per gli stessi attaccanti, sulle infrastrutture critiche”, dice ancora Alberto Pelliccione. “La chiusura della pipeline ha ridotto temporaneamente la disponibilità di carburante, contribuendo ad un incremento del prezzo del petrolio nel giro di poche ore, ed aumentando l’incertezza dei clienti che, non conoscendo l’entità e durata dell’attacco, hanno iniziato a far scorte di petrolio quando quest’ultimo già scarseggiava. Nel giro di poche ore Colonial Pipeline si è ritrovata a dover gestire una riserva in rapido svuotamento con un impatto significativo sui prezzi, ulteriormente accelerato dall’accaparramento da parte dei propri clienti”, continua.
“Se un attacco apparentemente non mirato all’infrastruttura ha avuto un simile impatto, un attacco mirato avrebbe avuto un effetto ben diverso. Colonial Pipeline gestisce infatti i dati di flusso e la fatturazione tra fornitori e distributori, e non è difficile immaginare uno scenario in cui un attaccante più sofisticato avrebbe potuto manipolare non soltanto i dati ma anche i flussi, con effetti senza dubbio importanti”.
Il punto critico è l’OT, più critico dell’IT: con un attacco all’OT è possibile manipolare i rapporti con fornitori (di petrolio in questo caso) e i parametri degli impianti, fino al punto da manometterli e danneggiarli. Come hanno fatto USA e Israele con Stuxnet mandando KO il programma nucleare iraniano.
Sicurezza IT e OT: principali differenze e strategie di presidio
“Questo episodio dovrebbe sollevare, ancora una volta, l’attenzione sulla sicurezza delle infrastrutture critiche e sulla precarietà di infrastrutture che si sono dovute adattare in fretta ai tempi moderni, spesso trascurando l’aspetto della (cyber-)sicurezza. Il prossimo attacco potrebbe non essere di matrice criminale ma statale, con conseguenze diverse, durature ed impatto – come abbiamo appena avuto modo di vedere – decisamente difficile da prevedere”, aggiunge Pelliccione.
Quali soluzioni
Aggiunge Pierluigi Paganini, Ceo Cybhorus, membro gruppo Cyber Threat Landscapes di ENISA (European Union Agency for Network and Information Security) e Adjunct Professor in Cyber Security presso Università Luiss Guido Carli “l’incidente conferma quanto siano fragili le infrastrutture critiche internazionali. Un attacco cibernetico è in grado di distruggere le operazioni di una infrastruttura di questo tipo e rappresenta un rischio potenziale per la vita del personale e delle popolazioni che vivono nelle vicinanze”.
Paganini concorda quindi con Pelliccione: “Quello che sorprende è il livello di esposizione a minacce che non eccedono per livello di sofisticazione, ciò ci induce a pensare che attacchi lanciati da attori nation-state potrebbero causare danni piu’ seri e metter in ginocchio la struttura ed il paese che li subiscono”.
Che fare, quindi? “È necessario ripensare completamente al modello di difesa, soprattutto per quanto concerne le infrastrutture critiche che oggi sono troppo esposte a molteplici minacce. Gli aspetti di cybersecurity e safety devono essere approcciati con la stessa meticolosità, non possiamo permettere che uno di questi attacchi abbia in futuro conseguenze drammatiche“, dice Paganini.
