E’ stato conseguenza di un attacco hacker con il malware BlackEnergy il black out di diverse ore avvenuto in Ucraina il 23 dicembre scorso. Per anni si è paventata la possibilità di attacchi a infrastrutture critiche come le reti elettriche, e ora ne abbiamo esperienza diretta.
Secondo quanto riportato dalla stampa, la metà delle abitazioni nella regione di Ivano-Frankivsk in Ucraina è rimasta senza corrente: la causa un virus che ha disconnesso alcune sottostazioni elettriche della rete. Il malware sarebbe stato già analizzato e riconosciuto da diversi esperti: risiedeva sui sistemi di almeno 3 operatori elettrici regionali.
Di fatto BlackEnergy, noto fin dal 2007, è il principale indiziato in caso di compromissione di sistemi di controllo industriale, anche negli Stati Uniti, come ha riportato nel 2014 l’ICS-CERT americano, secondo cui il Trojan sarebbe stato utilizzato in numerosi attacchi avvenuti nel mondo Energy.
I ricercatori della ESET hanno spiegato in un post sul loro Blog che l’ultimo evento registrato in Ucraina durante le feste natalizie non è stato un caso isolato: il malware della famiglia BlackEnergy è piuttosto diffuso, ha attaccato in Ucraina sia operatori del settore Energy sia i Media (durante le elezioni locali dello scorso anno) e anche i siti governativi che negli ultimi anni sarebbero stati oggetto di operazioni di cyber espionage.
Sempre secondo ESET, dal 2015 gli attaccanti avrebbero utilizzato in combinazione con BlackEnergy il nuovo plug-in KillDisk (Win32/KillDisk) dotato di capacità distruttive: il componente è stato disegnato per l’overwriting di oltre 4.000 tipologie di file, in grado quindi di sovrascrivere il sistema operativo e bloccare un sistema. Secondo il CERT nazionale dell’Ucraina il componente KillDisk è stato impiegato anche in precedenti attacchi con BlackEnergy, con la conseguente distruzione di documenti e video.
Successivamente al black out, il Ministro dell’Energia del paese ha deciso un’investigazione – che sarà svolta da una commissione di esperti – per risalire all’origine dell’attacco, mentre i servizi segreti dell’Ucraina hanno già accusato la Russia dell’incidente, anche a causa delle relazioni deteriorate tra i due paesi lo scorso anno in seguito all’annessione della Crimea da parte di Mosca. In precedente attacchi con BlackEnergy l’attribuzione è andata al Sandworm Team, gruppo criminale piuttosto noto per azioni contro sistemi Scada/ICS. Difficilmente in questo caso si arriverà a una corretta attribuzione – avvisano gli esperti – anche perché l’investigazione normalmente non renderà pubbliche tutte le informazioni raccolte.
Che sia stato un governo straniero o un gruppo di hacker, il tema più grave è oggi che BlackEnergy ha dimostrato di poter colpire device Scada e arrestarli, con implicazioni molto forti in termini di sicurezza nazionale. Se si dimostrerà che si è trattato effettivamente di un attacco cyber voluto da un gruppo di hacker, il tema sarà in futuro come evitare che si ripeta un incidente potenzialmente in grado di generare effetti a cascata: da problemi alle comunicazioni a quelli nei trasporti, nel sistema riscaldamento e quant’altro.
Il tema urgente diventa quindi oggi essere in grado di proteggere gli ambienti ICS e Scada da vulnerabilità note che li caratterizzano, come abbiamo in precedenza discusso in “Minacce cyber per il mondo del controllo industriale”. Gli hacker hanno già sviluppato diverse tecniche per aggirare le misure base di protezione perimetrale degli ambienti industriali, per cui anche per questi sistemi è oggi necessario adottare soluzioni di cyber security e metodi proattivi di threat intelligence per evitare che si presentino situazioni di elevata compromissione. Anche in “SCADA (ICS) Security: i 6 problemi più visti” di Enzo Maria Tieghi un’utile lista di attività di base da svolgere per mettere in sicurezza gli ambienti industriali.
A cura di:
Elena Vaciago, The Innovation Group