Comprendere gli attacchi SCADA

L’attacco portato dal virus Stuxnet contro l’Iran nel 2010 ha innalzato il livello di consapevolezza sulle vulnerabilità dei sistemi industriali noti come SCADA (Supervisory Control And Data Acquisition). Ma da quanto esistono queste minacce? Quali sono i mezzi utilizzati dai cybercriminali per colpire i sistemi industriali? Qual è il potenziale impatto di questi attacchi? In questo articolo, Ruchna Nigam, Security researcher presso i FortiGuard Labs di Fortinet offre il suo punto di vista sugli attacchi SCADA.

[section_title title=Comprendere gli attacchi SCADA]

Ruchna Nigam, Security researcher presso i FortiGuard Labs di Fortinet 

SCADA è il termine con cui si indicano sistemi usati per controllare apparati fisici. Questi sistemi sono usati in molte applicazioni industriali, come la gestione di turbine presso centrali energetiche, gasdotti e oleodotti; presso infrastrutture pubbliche, come i metal detector degli aeroporti; e anche presso infrastrutture private, ad esempio per controllare e monitorare processi quali riscaldamento, ventilazione e consumo energetico. Il fatto che un attacco contro un sistema del genere possa generare anche importanti danni fisici rende i sistemi SVADA un obiettivo particolarmente attrattivo per gli hacker.

Sfortunatamente, è stato necessario un attacco della scala di Stuxnet per far comprendere meglio alle realtà industriali il possibile impatto distruttivo di queste minacce informatiche. Se i tradizionali attacchi ai computer di solito producono danni non materiali, Stuxnet ha mostrato la capacità distruttiva di worm e virus avanzati, non solamente rispetto a dati aziendali ma anche a sistemi di gestione delle acque, produzione di sostanze chimiche ed infrastrutture energetiche.

Stuxnet non è stato il primo virus a prendere di mira l’ambiente SCADA. Qui di seguito una panoramica di alcuni attacchi significativi portati a SCADA nel corso degli anni, divisi in tre categorie:

  • Attacchi non confermati

1982: il primo attacco SCADA potrebbe risalire già al 1982. Secondo una raccolta di documenti chiamata “Farewell Dossier”, la Central Intelligence Agency (CIA) era stata coinvolta nella vendita di prodotti ed apparati ‘modificati’ all’Unione Sovietica. Un Trojan Horse era stato aggiunto alle apparecchiature e ha causato un’esplosione in un gasdotto transiberiano. Questo non è stato confermato ufficialmente nel Farewell Dossier, che menzionava l’installazione di turbine difettose ma non faceva parola dell’incidente.

1999: Ci sono report di un attacco portato a Gazprom, il leader russo del petrolio, che citano l’installazione di un Trojan Horse sul loro sistema di condotte, grazie al supporto di un agente interno. Secondo il report, l’attacco ha interrotto il controllo dei flussi di gas per diverse ore, cosa però che non è mai stata confermata da Gazprom.

  • Obiettivi non intenzionali

Diversi sistemi SCADA hanno subito attacchi da virus che non erano stati specificatamente mirati a loro ma sono stati comunque colpiti.

2003: Le centrale energetica nucleare Davis-Besse e l’azienda CSX negli USA sono state vittime rispettivamente dei worm Slammer e Sobig. Slammer ha causato un denial of service che ha rallentato la rete, mentre Sobig ha inviato spam via e-mail.

Conseguenze fisiche: Nessuna per la centrale nucleare Davis-Besse, anche se Slammer ha bloccato la rete SCADA di un altro impianto, che non è stato reso noto. Il virus Sobig ha infettato un computer nella sede centrale di CSX bloccando tra gli altri sistemi di segnalazione e consegna, provocando così ritardi dei treni.

2004: Aziende di trasporti come British Airways, Railcorp e Delta Airlines sono state colpite dal worm Sasser che ha sfruttato una vulnerabilità di tipo buffer overflow per propagarsi ad altri sistemi. Alcune varianti aggressive possono aver causato sovraffollamenti della rete.

Conseguenze fisiche: Ritardi di treni e aerei, in qualche caso cancellazione di voli.

2009: La marina francese è stata vittima del worm Conficker, che ha sfruttato una vulnerabilità di Windows, o ha indovinato le password degli amministratori per installarsi. In questo modo, il worm ha potuto propagarsi ad altre macchine vulnerabili, aggiornarsi e scaricare e installare malware aggiuntivo.

Conseguenze fisiche: L’impossibilità di scaricare piani di volo ha portato al blocco a terra degli aerei

Per continuare a leggere l’articolo consultare la pagina successiva