La rivoluzione digitale e la transizione energetica stanno rapidamente cambiando il sistema delle reti elettriche. Una delle colonne portanti di questa innovazione consiste nella cosiddetta smart grid, ovvero una vasta rete di distribuzione “intelligente” di ultima generazione, che garantisce alle utility di gestire l’equilibrio tra domanda e offerta di energia e di governare il sistema ottimizzando le sue attività.
Il funzionamento di queste reti è garantito dalla presenza di sensori e tecnologie avanzate che consentono di ragionare in un’ottica di sicurezza ed efficienza del sistema di fornitura dell’energia.
Attacco cyber ai satelliti ViaSat: il più grave della guerra d’Ucraina
Indice degli argomenti
Perché le reti elettriche sono in pericolo
Questa crescente interoperatività rappresenta allo stesso tempo un potenziale bersaglio per gli hacker. Tre caratteristiche principali rendono le reti elettriche particolarmente esposte alle minacce informatiche.
Innanzitutto, le aziende che operano in questo settore rappresentano un ricco bersaglio in termini economici per gli attacchi ransomware. Inoltre, le utility hanno una superficie di attacco sempre maggiore che dipende dalle loro posizioni geografiche disperse e dalle loro complesse relazioni di fornitura alle terze parti.
Infine, le aziende elettriche hanno sofisticate interdipendenze tra le infrastrutture fisiche e informatiche che le rendono altamente vulnerabili.
Dragonfly e lo spear phishing
Uno dei gruppi hacker più attivi nel colpire le reti elettriche è Dragonfly, organizzazione ritenuta vicina alla Russia. Uno dei suoi principali vettori di attacco è lo spear phishing, in cui i pirati informatici inviano email ingannevoli con documenti in allegato attinenti al settore energetico. Inoltre, secondo la società di sicurezza informatica Symantec, il gruppo avrebbe iniziato ad utilizzare applicazioni Windows modificate per installare nei dispositivi un trojan, nello specifico Backdoor.Dorshel.
Nel 2017, secondo quanto svelato da Symantec, il gruppo avrebbe attaccato aziende energetiche in Europa e negli Stati Uniti, ma si sospetta che imprese di altri paesi possano essere state colpite.
Metodologia di lavoro
Per ottenere l’accesso ai computer delle centrali elettriche e alle loro reti interne, gli hacker si sono infiltrati prima nelle aziende più piccole e meno sicure, come quelle che producono parti per i generatori o che vendono software alle compagnie elettriche.
Gli attaccanti si sono introdotti nelle reti informatiche dopo aver rubato le credenziali d’accesso agli impiegati, soprattutto attraverso tecniche di phishing. In seguito, gli hacker sono riusciti a penetrare nelle reti delle società elettriche, perché i fornitori-partner, in molti casi, hanno la possibilità a loro volta di accedere in via speciale ai sistemi informatici delle utility, ad esempio per eseguire test di diagnostica e aggiornare i programmi.
Una volta all’interno dei dispositivi, gli attaccanti non hanno impostato programmi per sabotare i dati, bensì per raccoglierli. Le applicazioni installate erano infatti adibite a catturare schermate, registrare i dettagli presenti sul computer e salvare le informazioni.
Attacco alla rete indiana
Più recentemente, nel marzo 2022, la rete elettrica indiana è stata colpita da un attacco informatico a lungo termine che si ritiene sia stato eseguito da un gruppo cinese sponsorizzato dallo stesso Governo di Pechino.
Il 6 aprile 2022 l’Insikt Group, la divisione di ricerca sulle minacce di Recorded Future, con sede nel Massachusetts, ha pubblicato un report in cui afferma di aver raccolto prove riguardanti il tentativo degli hacker di colpire sette strutture che gestiscono la rete elettrica nel Ladakh, regione dell’India settentrionale contesa con la Cina. Nello specifico, tali installazioni sono centri logistici dello Stato indiano (State Load Despatch Centres – SLDCs) responsabili dell’esecuzione di operazioni in tempo reale per il controllo della rete e l’invio di elettricità. Ciò li rende fondamentali per mantenere l’accesso ai sistemi di controllo di supervisione e acquisizione dati (Supervisory Control And Data Acquisition systems – SCADA systems).
L’Insikt Group ha identificato l’attività attraverso una combinazione di analisi automatizzate del traffico di rete su larga scala e analisi di esperti. Le origini dati includono Recorded Future Platform, SecurityTrails, PolySwarm, Pure Signal di Team Cymru e comuni tecniche di Open Source Intelligence (OSINT).
Il malware Shadowpad
L’uso del malware Shadowpad è stata la chiave che ha permesso agli esperti di Recorded Future di collegare l’attacco ad un team di hacker cinesi, in quanto si ritiene che tale virus sia stato sviluppato e utilizzato da gruppi collegati all’Esercito Popolare di Liberazione (EPL) e al Ministero della Sicurezza dello Stato cinese (MSS). Shadowpad è una backdoor di Windows che consente agli aggressori di scaricare moduli dannosi o rubare dati. Secondo i ricercatori di sicurezza informatica di SentinelOne, l’utilizzo di ShadowPad riduce in modo significativo i costi di sviluppo e mantenimento di malware per gli attaccanti.
Il portavoce del Ministero degli Esteri cinese Zhao Lijian, durante la conferenza stampa dell’08/04/2022, ha affermato che la Cina non è coinvolta nell’attacco.
A sua volta, il Ministro dell’Energia indiano Raj Kumar Singh, durante una diretta televisiva diffusa dall’Asian News International (ANI), ha affermato che l’attacco non è motivo di preoccupazione per il paese.
L’attacco dell’8 aprile in Ucraina
Nell’ambito del conflitto in Ucraina, il Governo di Kiev ha recentemente confermato di aver sventato un tentativo di cyber attacco russo l’8 aprile che aveva come obiettivo danneggiare la rete elettrica del paese.
Il portavoce del Governo, Victor Zhora, ha dichiarato che si tratta di una squadra di hacker militari, probabilmente facenti parte del gruppo Sandworm, precedentemente collegato a cyberattacchi attribuiti alla Russia. Mosca ha sempre negato le accuse, dichiarando di non aver mai lanciato attacchi informatici all’Ucraina.
Il malware impiegato è Industroyer2, che secondo la società slovacca di cyber sicurezza ESET, che ha collaborato con l’Ucraina per sventare l’attacco, il virus rappresenta una versione aggiornata del programma che aveva causato il blackout a Kiev nel 2016.
Una parte del malware aveva lo scopo di assumere il controllo delle reti informatiche presso il fornitore al fine di interrompere il flusso di energia. Un secondo programma, invece, è stato distribuito per cancellare alcuni importanti dati, rallentando di conseguenza i tentativi di ripristinare i servizi.
Attacco cyber russo alle reti elettriche ucraine: perché siamo a rischio anche noi
Come difendersi?
La crescente complessità delle nuove reti di distribuzione dell’energia elettrica mette in risalto la necessità per le aziende del settore di munirsi di difese adeguate contro le minacce poste dai criminali informatici. In particolare, l’integrazione dei sistemi IT con quelli OT, se da un lato garantisce alle utility di fornire energia in modo più efficiente, dall’altro consente agli hacker di utilizzare i sistemi IT come backdoor nei sistemi OT.
Un utile strumento di protezione continua ad essere l’utilizzo di password sofisticate. A tal proposito, Keeper, un gestore di password che consente la conservazione di credenziali e documenti all’interno di una cassaforte digitale, fornisce alle imprese energetiche un importante aiuto a proteggere i loro sistemi OT, mettendo al sicuro la parte più vulnerabile delle loro reti IT: le password dei dipendenti.
La piattaforma Keeper zero-knowledge offre agli amministratori IT una visibilità completa delle pratiche relative alle password dei dipendenti, consentendo loro di monitorare l’uso delle stesse e di applicare le politiche di sicurezza in tutta l’organizzazione, compresa l’autenticazione a più fattori (2FA).
