Questa settimana è iniziata con la scoperta di un nuovo codice malevolo chiamato Industroyer che secondo gli esperti dell’azienda di sicurezza ESET è stato sviluppato con lo specifico intento di colpire le reti elettriche. Secondo i ricercatori dellaESET, Industroyer è stato utilizzato da un attore malevolo nell’attacco avvenuto nel dicembre 2016 contro una porzione della rete elettrica in Ucraina. L’azienda Dragos che ha investigato la minaccia, ha attributo la stessa al gruppo ELECTRUM APT che sarebbe in collegamento con un altro famoso gruppo noto come Sandworm che si è distinto in passati attacchi. Il codice malevolo Industroyer è stato descritto come estremamente complesso, la sua struttura modulare lo rende efficiente ed in grado di condurre numerose attività specifiche per un attacco contro un sistema industriale. Tra i principali moduli di questa minaccia ci sono una backdoor, un componente in grado di distruggere il sistema attaccato (Wiper) per renderlo non operativo e complicare le operazioni di analisi dell’incidente da parte degli esperti di sicurezza ed una serie di moduli accessori. Questi moduli accessori sono utilizzati dal malware per eseguire operazioni in grado di provocare severi malfunzionamenti dell’impianto preso di mira.

Gli altri codici malevoli

Ma quanti sono i codici malevoli scoperti sono ad oggi che sono stati sviluppati con l’intento di compromettere un impianto industriale? Sebbene ogni giorno venga scoperto un quantitativo sconcertante di nuovi codici malevoli, davvero pochi son quelli disegnati per colpire sistemi industriali. A oggi, Industroyer è probabilmente il quarto malware specificamente concepito per infettare sistemi di controllo industrial (ICS), i precedenti sono Stuxnet, BlackEnergy, and Havex. La principale ragione è nell’economia dell’attacco, ovvero la necessità da parte dell’attaccante di avere elevate competenze specifiche, quindi costi elevati, ma al tempo stesso la possibilità di colpire un numero limitato di obiettivi se comparato con altre attività di hacking.

Stuxnet

è considerato la prima vera arma cibernetica, un malware creato dal Governo statunitense in collaborazione col governo israeliano per sabotare il programma iraniano di arricchimento dell’uranio all’interno della centrale nucleare iraniana di Natanz. Stuxnet è stato sviluppato per distruggere un particolare modello di centrifuga in uso nell’impianto infettandone i sistemi di controllo. Stuxnet sfruttava una vulnerabilità zero-day per compromettere sistemi Windows ed implementa il comportamento di un worm in grado auto replicarsi su altre macchine della medesima rete. Il vettore di infezione si è scoperto essere una chiavetta USB.

Havex

è un’altra minaccia emersa dalle investigazioni di diverse aziende id sicurezza nel giugno 2015, trattasi di un RAT, ovvero di un codice malevolo in grado consentire all’attaccante il controllo completo della macchina della vittima. Havex è stato osservato in molteplici attacchi mirati nei confronti contro sistemi di aziende operanti in diversi settori industriali, soprattutto quello energetico.Gli esperti dell’azienda di sicurezza F-Secure scoprirono che Havex era stato personalizzato per infettare sistemi ICS, in particolare gli attaccanti avevano compromesso il sito web di un fornitore di questi sistemi per distribuire l’agente malevolo sotto forma di aggiornamento. La tecnica è nota come watering-hole attack ovvero Havex veniva distribuito attraverso siti web di interesse per le vittime, sono stati utilizzati siti di fornitori di sistemi ICS e SCADA in Germania, Svizzera e Belgio. Anche in questo caso, le peculiarità del codice suggerivano il coinvolgimento di un attore nation-state, probabilmente vicino al governo Russo.

BlackEnergy

Concludiamo la nostra discussione con BlackEnergy, divenuto popolare proprio in occasione degli attacchi contro la rete elettrica in Ucraina che causarono il blackout di una vasta regione nel dicembre 2015. Come in precedenza, il principale responsabile sembrerebbe essere il governo russo impegnato nella disputa con l’Ucraina per l’annessione della Crimea al suo territorio. BlackEnergy è stato distribuito con attacco di spear-phishing contro i gestori della rete elettrica nell’area. Il malware appare subito complesso, la sua struttura suggerisce che sia stato sviluppato per il sabotaggio dei sistemi presi di mira, i suoi moduli consentono di interferire con i circuiti per la distribuzione dell’energia elettrica causando l’interruzione del flusso, ma soprattutto distruggo il sistema ospite grazie ad un modulo chiamato KillDisk che provvede alla distruzione del disco una volta infettata la macchina. Il principio è semplice, prima viene interrotta l’alimentazione della rete elettrica, poi il modulo KillDisk distrugge la macchina impedendo di fatto le operazioni di ripristino. Gli esperti osservarono altro particolare nell’attacco contro i gestori della rete elettrica, gli utenti ucraini erano impossibilitati a segnalare i guasti nelle prime fasi dell’attacco perché gli attaccanti avevano preso di mira anche i centralini del gestore elettrico che risultavano quindi fuori uso, in questo modo il gestore è venuto a conoscenza dell’incidente nella vasta area solo dopo diverso tempo dall’inizio dell’attacco amplificandone gli effetti.

Altre finalità

Concludendo, contrariamente a quanto si possa credere, solo 4 minacce ad oggi sono state concepite per attaccare sistemi ICS (sistemi industriali di controllo), ciò significa che l’incremento di attacchi osservati contro i sistemi ICS è stato causato da malware sviluppati con altri fini.

Infezioni di sistemi ICS con malware “generici” è divenuta una preoccupante circostanza frutto spesso di scarsi livelli di sicurezza implementati dagli operatori in tutto il mondo.