Torna alla home
Torna alla home
.....
Open menu
Home
 
Search
 
MY
Articoli Salvati
 
Life
Smart Money
The Food Makers
Valore Responsabile
 
That's Round
Cover Story
 
Economy
Education
Impact
Lifestyle
Startup
Tech
 
Agenda
Bandi
Live TV
 
Unstoppable Women
Bandi Istruzioni per l'uso
Imprenditori Sostenibili
Investimenti Digitali E Cripto
 
SIOS
Shopping
 
STARTUPITALIA
Advisory Board
Area Investor
Lavora con noi
Chi siamo
I nostri autori
desc
TECH

Industroyer e gli altri malware che minacciano i nostri impianti industriali

 ⏱ Leggi in 3 min
  ⏱3 min read
TECH
Share article
Set prefered

Industroyer e gli altri malware che minacciano i nostri impianti industriali

Share article
Set prefered

Il codice malevolo analizzato dgli esperti dell’azienda di sicurezza ESET è stato sviluppato con lo specifico intento di colpire le reti elettriche dell’Ucraina. Ma non è l’unica minaccia per i sistemi industriali di controllo

Il codice malevolo analizzato dgli esperti dell’azienda di sicurezza ESET è stato sviluppato con lo specifico intento di colpire le reti elettriche dell’Ucraina. Ma non è l’unica minaccia per i sistemi industriali di controllo

Cybersecurity
author avatar
Pierluigi Paganini
15 giu 2017

Questa settimana è iniziata con la scoperta di un nuovo codice malevolo chiamato Industroyer che secondo gli esperti dell’azienda di sicurezza ESET è stato sviluppato con lo specifico intento di colpire le reti elettriche. Secondo i ricercatori dellaESET, Industroyer è stato utilizzato da un attore malevolo nell’attacco avvenuto nel dicembre 2016 contro una porzione della rete elettrica in Ucraina. L’azienda Dragos che ha investigato la minaccia, ha attributo la stessa al gruppo ELECTRUM APT che sarebbe in collegamento con un altro famoso gruppo noto come Sandworm che si è distinto in passati attacchi. Il codice malevolo Industroyer è stato descritto come estremamente complesso, la sua struttura modulare lo rende efficiente ed in grado di condurre numerose attività specifiche per un attacco contro un sistema industriale. Tra i principali moduli di questa minaccia ci sono una backdoor, un componente in grado di distruggere il sistema attaccato (Wiper) per renderlo non operativo e complicare le operazioni di analisi dell’incidente da parte degli esperti di sicurezza ed una serie di moduli accessori. Questi moduli accessori sono utilizzati dal malware per eseguire operazioni in grado di provocare severi malfunzionamenti dell’impianto preso di mira.

malware

Gli altri codici malevoli

Ma quanti sono i codici malevoli scoperti sono ad oggi che sono stati sviluppati con l’intento di compromettere un impianto industriale? Sebbene ogni giorno venga scoperto un quantitativo sconcertante di nuovi codici malevoli, davvero pochi son quelli disegnati per colpire sistemi industriali. A oggi, Industroyer è probabilmente il quarto malware specificamente concepito per infettare sistemi di controllo industrial (ICS), i precedenti sono Stuxnet, BlackEnergy, and Havex. La principale ragione è nell’economia dell’attacco, ovvero la necessità da parte dell’attaccante di avere elevate competenze specifiche, quindi costi elevati, ma al tempo stesso la possibilità di colpire un numero limitato di obiettivi se comparato con altre attività di hacking.

Stuxnet

è considerato la prima vera arma cibernetica, un malware creato dal Governo statunitense in collaborazione col governo israeliano per sabotare il programma iraniano di arricchimento dell’uranio all’interno della centrale nucleare iraniana di Natanz. Stuxnet è stato sviluppato per distruggere un particolare modello di centrifuga in uso nell’impianto infettandone i sistemi di controllo. Stuxnet sfruttava una vulnerabilità zero-day per compromettere sistemi Windows ed implementa il comportamento di un worm in grado auto replicarsi su altre macchine della medesima rete. Il vettore di infezione si è scoperto essere una chiavetta USB.

Havex

è un’altra minaccia emersa dalle investigazioni di diverse aziende id sicurezza nel giugno 2015, trattasi di un RAT, ovvero di un codice malevolo in grado consentire all’attaccante il controllo completo della macchina della vittima. Havex è stato osservato in molteplici attacchi mirati nei confronti contro sistemi di aziende operanti in diversi settori industriali, soprattutto quello energetico.Gli esperti dell’azienda di sicurezza F-Secure scoprirono che Havex era stato personalizzato per infettare sistemi ICS, in particolare gli attaccanti avevano compromesso il sito web di un fornitore di questi sistemi per distribuire l’agente malevolo sotto forma di aggiornamento. La tecnica è nota come watering-hole attack ovvero Havex veniva distribuito attraverso siti web di interesse per le vittime, sono stati utilizzati siti di fornitori di sistemi ICS e SCADA in Germania, Svizzera e Belgio. Anche in questo caso, le peculiarità del codice suggerivano il coinvolgimento di un attore nation-state, probabilmente vicino al governo Russo.

BlackEnergy

Concludiamo la nostra discussione con BlackEnergy, divenuto popolare proprio in occasione degli attacchi contro la rete elettrica in Ucraina che causarono il blackout di una vasta regione nel dicembre 2015. Come in precedenza, il principale responsabile sembrerebbe essere il governo russo impegnato nella disputa con l’Ucraina per l’annessione della Crimea al suo territorio. BlackEnergy è stato distribuito con attacco di spear-phishing contro i gestori della rete elettrica nell’area. Il malware appare subito complesso, la sua struttura suggerisce che sia stato sviluppato per il sabotaggio dei sistemi presi di mira, i suoi moduli consentono di interferire con i circuiti per la distribuzione dell’energia elettrica causando l’interruzione del flusso, ma soprattutto distruggo il sistema ospite grazie ad un modulo chiamato KillDisk che provvede alla distruzione del disco una volta infettata la macchina. Il principio è semplice, prima viene interrotta l’alimentazione della rete elettrica, poi il modulo KillDisk distrugge la macchina impedendo di fatto le operazioni di ripristino. Gli esperti osservarono altro particolare nell’attacco contro i gestori della rete elettrica, gli utenti ucraini erano impossibilitati a segnalare i guasti nelle prime fasi dell’attacco perché gli attaccanti avevano preso di mira anche i centralini del gestore elettrico che risultavano quindi fuori uso, in questo modo il gestore è venuto a conoscenza dell’incidente nella vasta area solo dopo diverso tempo dall’inizio dell’attacco amplificandone gli effetti.

Altre finalità

Concludendo, contrariamente a quanto si possa credere, solo 4 minacce ad oggi sono state concepite per attaccare sistemi ICS (sistemi industriali di controllo), ciò significa che l’incremento di attacchi osservati contro i sistemi ICS è stato causato da malware sviluppati con altri fini.

Malware

Infezioni di sistemi ICS con malware “generici” è divenuta una preoccupante circostanza frutto spesso di scarsi livelli di sicurezza implementati dagli operatori in tutto il mondo.

Tags: #BLACKENERGY #HAVEX #ICS #INDUSTROYER #MALWARE #STUXNET
Iscriviti alla newsletter di SI

Info, networking, best practice sull'innovazione digitale in Italia.

Home
Il magazine dell'innovazione e delle startup italiane
facebook
twitter
instagram
linkedin

 

LifeValore ResponsabileSmart MoneyThe food makers

 

TechEconomyEducationLifestyleStartupImpact

StartupItalia

Advisory BoardArea InvestorSIOSShoppingAgendaBandiLavora con noi
loading autori
StartupItalia! è una testata registrata presso il tribunale di Roma n. 167/2012
StartupItalia! SRL, Cagliari, Via Sassari 3, 09123, PIVA 13733231008, REA - CA - 352408, Capitale Sociale: € 28.924,60, PEC startupitalia (at) legalmail.it
Privacy 
|
 Cookie 
|
 Change privacy settings
Torna alla home
Life
Smart Money
The food makers
Valore Responsabile
That's Round
Cover Story
Economy
Education
Impact
Lifestyle
Startup
Tech
Agenda
Bandi
LIVE TV
SIOS
Shopping
RUBRICHE
Unstoppable Women
Bandi Istruzioni per l'uso
Imprenditori Sostenibili
Investimenti Digitali E Cripto
MY
Articoli Salvati
STARTUPITALIA
Advisory Board
Area Investor
Lavora con noi
Chi siamo