CyberwarSicurezza

Allarme Industroyer, prende di mira le reti energetiche

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

Industroyer è una vera minaccia per i sistemi di controllo industriale. Eset ne evidenzia le pericolosità per gli apparati di erogazione energetica e, opportunamente programmato, la grande versatilità

Si chiama Industroyer il malware rilevato dai ricercatori Eset in grado di mettere in ginocchio reti elettriche e infrastrutture critiche. Dal punto di vista morfologico si tratta di un malware modulare, con una backdoor come componente principale sfruttata dai criminali per condurre l’attacco.

La backdoor si installa, controlla altri componenti, si connette a un server remoto, riceve i comandi e fornisce i rapporti di esecuzione agli attaccanti. Sono l’obiettivo del malware però e il suo funzionamento in quel contesto a fare la differenza. Le routine di infezione lavorano per fasi: mappano la rete, individuano i bersagli, inviano comandi specifici sui dispositivi di controllo industriale da manomettere.

E infatti quattro componenti della payload sono progettati per prendere il controllo diretto di switch e interruttori di circuito di una sottostazione di distribuzione elettrica e con le relative modifiche di altre componenti infrastrutturali, per portare attacchi ai sistemi critici presi di mira. Queste componenti Payload tra l’altro evidenziano estrema competenza sui sistemi di controllo industriale, dettaglio che qualifica l’importanza del malware.

Gli switch sono veri e propri interruttori digitali, programmabili per svolgere varie funzioni. Non è detto che ci si possa/voglia limitare alla semplice interruzione dell’erogazione. Potrebbero essere riprogrammati per danneggiare gli impianti stessi o creare specifici danni a catena. Da qui l’ulteriore livello di pericolosità. 

Industroyer - Il funzionamento spiegato da ESET
Industroyer – Schema di attacco spiegato da ESET

Eset che ha studiato il malware specifica come ognuno dei componenti sia allocato a determinati protocolli di comunicazione specificati negli standard IEC 60870-5-101, IEC 60870-5-104, IEC 61850, e OLE for Process Control Data Access (OPC DA).

La pericolosità di Industroyer

Proviamo a fare un passo indietro allora per capire nel complesso il significato e la pericolosità di Industroyer. Nel 2016 si era registrato un attacco alla rete elettrica ucraina che ha privato la capitale per circa un’ora dell’alimentazione elettrica. Quell’attacco è possibile sia stato portato proprio conun malware già come Industroyer per gli elementi di somiglianza, e abbia rappresentato semplicemente un test su larga scala.

Industroyer - Le componenti del malware
Industroyer – Le componenti del malware

Uno dei punti di forza del malware è la sua versatilità, si tratta infatti di un sistema alquanto personalizzabile, che sfrutta solo i protocolli di comunicazione previsti, con chiavi progettuali per specifiche componenti hardware. Da un lato questo permette attacchi sofisticati e mirati, dall’altro poiché si tratta di un malware altamente professionale, il cybercrime può prepare diverse varianti nel tempo a seconda degli obiettivi.

Eset infatti evidenzia come il componente di cancellazione e alcuni di payload sono stati sviluppati su misura per determinati prodotti di controllo della conosciuta azienda ABB e come il componente DoS funzioni in modo specifico sugli apparecchi Siemens SIPROTECT delle stazioni elettriche. 

Se in linea di principio è difficile attribuire la paternità degli attacchi al malware senza effettuare una verifica sul sito colpito, è molto probabile che l’Industroyer sia stato usato a dicembre del 2016 per attaccare la rete elettrica Ucraina. Oltre all’evidente capacità del malware di compiere questo tipo di attacchi, il suo codice contiene un marcatore temporale che indica il 17 dicembre 2016, proprio il giorno dell’interruzione elettrica.

Win32/Industroyer (il nome esatto del malware) non è il primo malware infrastrutturale con cui i servizi di sicurezza devono fare i conti. Si ricorderà infatti StuxnetEra il 2012 e Stati Uniti e Israele si esercitavano a sabotare centrali nucleari, ammisero di avere perso il controllo su questo worm creato per dare fastidio ai nemici politici. Si potrebbe dire: “tanto tuonò che piovve”. In verità che tra le armi più micidiali dei prossimi conflitti ci fossero quelle informatiche oramai è riconosciuto da tutti.