Comprendere gli attacchi SCADA

L’attacco portato dal virus Stuxnet contro l’Iran nel 2010 ha innalzato il livello di consapevolezza sulle vulnerabilità dei sistemi industriali noti come SCADA (Supervisory Control And Data Acquisition). Ma da quanto esistono queste minacce? Quali sono i mezzi utilizzati dai cybercriminali per colpire i sistemi industriali? Qual è il potenziale impatto di questi attacchi? In questo articolo, Ruchna Nigam, Security researcher presso i FortiGuard Labs di Fortinet offre il suo punto di vista sugli attacchi SCADA.

[section_title title=Comprendere gli attacchi SCADA – Parte 2]

  • Attacchi mirati confermati

Ecco attacchi che sono stati specificatamente progettati e mirati a sistemi SCADA

2009: Aziende operanti nel settore Oil & gas e petrolchimico, come Exxon, Shell e BP, sono state colpite dal virus Night Dragon, distribuito utilizzando tecnologie di spearphishing. Il virus consentiva ai criminali di prendere il controllo remoto dei computer infetti.

Conseguenze fisiche: Nessuna, anche se alcuni report mostrano che i criminali sono stati in grado di ottenere blueprint operative di sistemi SCADA ed in qualche caso di raccogliere dati

2010: Stuxnet era un worm impegnato in attività di spionaggio e riprogrammazione di sistemi industriali presso l’impianto nucleare di Natanz, in Iran. Il virus ha intercettato e modificato dati all’interno di un Programmable Logic Controller (PLC).

Conseguenze fisiche: un quinto delle centrifughe nucleari iraniane sono state distrutte

2014: Questi due virus sono stati identificati nel corso del 2014, anche se non sono stati ricevuti report dalle organizzazioni colpite. Havex è stato distribuito tramite il download di software SCADA infetto da Trojan da siti vendor compromessi. Effettuava una scansione delle rete locale per identificare i server che raccoglievano dati dagli impianti industriali ed inviava i dati raccolti ad un server di command and control. In questo caso, le motivazioni degli hacker erano lo spionaggio ed il furto di dati.

Conseguenze fisiche: Nessuna

Blacken è stato trovato sul server di command and control di una botnet esistente. Prende di mira gli utenti del software SCADA, GE Cimplicity, ed installa eseguibili nella directory centrale del software. Alcuni di questi eseguibili sono bot che possono essere comandati remotamente. Inoltre, fa riferimento ai file di progettazione di Cimplicity, anche se il loro utilizzo esatto non è ancora chiaro.

Conseguenze fisiche: nessun caso segnalato

Infine, ma non per questo meno importante: secondo un report condotto dall’Ufficio Federale Tedesco per la Sicurezza delle Informazioni (BSI), un attacco mirato portato alla rete informatica di un’acciaieria in Germania nel 2014 ha causato danni importanti. I criminali hanno usato messaggi email di spear phishing e una sofisticata strategia di social engineering per ottenere accesso alla rete informatica dell’acciaieria, e poi da lì alla rete di produzione. Il report descrive le competenze tecniche dei criminali come ‘molto avanzate’, con esperienza non solo sulla tradizionale sicurezza IT ma anche conoscenze tecniche approfondite dei sistemi di control industriale (ICS) e dei processi di produzione utilizzati.

Conseguenze fisiche: Anche se i dettagli del malware in sé sono vaghi, il report afferma che l’attacco ha portato al collasso di singole componenti di controllo, e susseguentemente allo “spegnimento fuori controllo di un altoforno, rimasto in uno stato non definito che ha causato danni più che significativi.”

In sostanza, sulla base degli avvenimenti sopra riassunti, questo tipo di attacchi è ancora tutt’altro che ampiamente diffuso, nonostante il target SCADA sia potenzialmente promettente. A parte Stuxnet ed il virus che ha colpito l’acciaieria tedesca, nessun altro attacco ha causato significativi danni fisici. Il motivo? Questi attacchi sofisticati non richiedono solamente approfondite competenze tecniche, oltre alla conoscenza dell’infrastruttura sotto attacco, ma anche risorse finanziarie significative, che non tutti i criminali hanno a disposizione. Considerando come il cybercrime continui ad evolversi, ci si potrebbe aspettare un aumento degli attacchi distruttivi, e di conseguenza la necessità per le aziende di prepararsi ad attacchi di questo tipo.