mercoledì 14 giugno 2017

Individuata la prima “arma digitale” per attacchi contro reti elettriche

lastampa.it
carola frediani

Usata lo scorso dicembre in Ucraina, è il primo malware progettato solo per sabotare la fornitura di elettricità, spiegano due report

Lo scorso dicembre un attacco informatico al gestore ucraino di rete elettrica Ukrenergo è riuscito a disconnettere una sottostazione di trasmissione provocando un blackout di un’ora per alcune migliaia di utenti a Kiev. All’epoca l’episodio non ha avuto molta pubblicità, anche perché era oscurato da un attacco avvenuto esattamente un anno prima, nel dicembre 2015, sempre in Ucraina, che aveva tolto la corrente per almeno sei ore a oltre 230mila residenti della regione di Ivano-Frankivsk.

Un malware contro reti elettriche
Ma a quanto pare quel secondo attacco avrebbe dovuto preoccupare molto più del primo. Perché utilizzava un malware diverso, specificamente progettato per interrompere il normale funzionamento di una rete elettrica in modo automatizzato. E perché potrebbe essere usato anche contro gestori dell’energia di altri Paesi, soprattutto europei, mediorientali o asiatici (e con alcuni aggiustamenti anche americani).

Il fatto di avere come missione esclusiva l’attacco a sistemi di controllo industriale e il sabotaggio di una infrastruttura critica lo rende dunque degno erede di Stuxnet, che fu il primo software malevolo progettato (o quanto meno impiegato con successo) ad avere quell’obiettivo nel suo Dna. La prima cyberarma, secondo molti osservatori. Nello specifico, Stuxnet venne sviluppato con lo scopo di danneggiare silenziosamente le centrifughe di un impianto di arricchimento dell’uranio in Iran e rallentare il programma nucleare iraniano. Il malware che ha colpito in Ucraina mostra invece un crescente interesse per lo sviluppo di attacchi contro reti elettriche che potrebbero avere effetti subito visibili e concreti sui servizi essenziali di un Paese e parte della popolazione

Cosa differenzia CrashOverride da altri attacchi
In particolare, secondo l’analisi di Dragos - società specializzata nella difesa di sistemi di controllo industriale fondata da Robert M. Lee, veterano della cyberguerriglia nel governo americano poi passato all’industria - il malware usato in Ucraina a dicembre, e battezzato CrashOverride, sarebbe il primo del genere progettato e utilizzato per attaccare reti elettriche. Per spiegare cosa significa dobbiamo fare un passo indietro e confrontare i due diversi attacchi che hanno colpito parti della rete elettrica Ucraina nel dicembre 2015 e nel dicembre 2016.

Nel 2015 infatti gli attaccanti usarono un malware noto come BlackEnergy 3, che è sostanzialmente uno strumento di cyberspionaggio con il quale hanno avuto accesso alle reti corporate delle aziende elettriche e da lì sono arrivati alle reti di controllo dei sistemi industriali (SCADA). E sono stati poi gli attaccanti a gestire i vari passaggi di disconnessione delle sottostazioni.

Progettato per il sabotaggio
Nel caso dell’attacco del 2016 contro l’operatore Ukrenergo le procedure per interrompere le operazioni di fornitura dell’energia sono state codificate e automatizzate nel malware CrashOverride. 
«BlackEnergy 3 è stato sfruttato per ottenere l’accesso alle reti elettriche nell’attacco del 2015 ma il malware non ha causato l’attacco vero e proprio e l’interruzione del servizio», spiega a La Stampa Robert M. Lee. «Ha dato accesso agli operatori umani che hanno usato gli stessi sistemi della rete elettrica contro sé stessa, in un approccio manuale. Invece nel 2016 CrashOverride ha codificato dentro il malware quella conoscenza relativa a come rivoltare i sistemi contro loro stessi. Le due famiglie di malware - BlackEnergy e CrashOverride - non sono collegate dunque. Inoltre il secondo è più automatizzato e scalabile».

Potrebbe essere utilizzato per attacchi simultanei contro più siti. E poiché è composto da moduli, blocchi che aggiungono o modificano funzionalità, potrebbe essere esteso ad altri Paesi e industrie, nota il report di Dragos. In quanto alla comparazione con Stuxnet, «si può fare perché questo è il secondo tipo di malware confezionato apposta per sistemi industriali e progettato per interrompere il servizio», commenta ancora Lee. «Gli altri due malware usati contro industrie (BlackEnergy 2 e Havex) erano focalizzati sullo spionaggio».

Riassumendo: sono quattro i malware rinvenuti in attacchi che hanno colpito sistemi di controllo industriale: Stuxnet, BlackEnergy, Havex e CrashOverride. Ma BlackEnergy e Havex sono stati progettati per fare cyberspionaggio. Stuxnet e CrashOverride servono solo a fare sabotaggio. Nel caso di Stuxnet si otteneva distruzione fisica delle macchine (le centrifughe). Nel caso di CrashOverride si ottiene una interruzione del servizio.

Protocolli di comunicazione vecchi
Da notare che CrashOverride (chiamato Industroyer da Eset) non utilizza vulnerabilità zero-days, cioè falle ancora sconosciute, ma si distingue per la capacità di sfruttare i protocolli di comunicazione usati dai sistemi di controllo industriale. «Il problema è che questi protocolli sono stati progettati decenni fa, e allora i sistemi industriali dovevano essere isolati dal mondo esterno», scrive Eset nel suo report. «Perciò, i loro protocolli di comunicazione non erano fatti pensando alla sicurezza. E ciò significa che gli attaccanti non hanno bisogno di cercare vulnerabilità nei protocolli; gli basta insegnare al malware a “parlare” con quei protocolli». Tuttavia chi gestisce sistemi industriali può difendersi da questo tipo di attacco, e i due paper danno delle indicazioni tecniche al riguardo.

Chi c’è dietro?
In quanto all’identità degli attaccanti dietro a CrashOverride, Dragos ritiene che si tratti di un gruppo legato comunque agli hacker che avevano usato BlackEnergy in Ucraina nel 2015, gruppo identificato da altri come Sandworm. Dunque, stando ai report di varie società, si tratterebbe di hacker russi, anche se non ci sono prove definitive sulla loro identità. Dragos ha dato loro anche un nome: Electrum. Certo, il target rientrerebbe nella sfera d’azione e di interesse russa. E del resto l’Ucraina negli ultimi anni è stata un terreno di scontro anche digitale e di sperimentazioni di cyberguerriglia.