Roma – In una fredda notte d’inverno del 2016, gli ucraini hanno sperimentato il primo blackout mai conosciuto causato da un codice dannoso (malware) progettato per attaccare autonomamente la rete elettrica. Un quinto dei cittadini di Kiev è stato immerso nell’oscurità mentre gli aggressori hanno utilizzato malware per prendere di mira la rete elettrica della capitale. Sei anni dopo, nei primi mesi della guerra in corso tra Russia e Ucraina, un secondo attacco tentò di combinare attacchi cinetici e informatici per distruggere la rete elettrica dell’Ucraina.
Gli attacchi malware contro le infrastrutture fisiche sono da tempo una minaccia incombente nel campo della sicurezza informatica, ma questi due in Ucraina sono stati i primi attacchi di questo tipo e hanno ricevuto poca attenzione da parte della comunità accademica. Condotti da un’agenzia di intelligence russa contro l’Ucraina, mettono in guardia sull’evoluzione degli attacchi informatici al mondo costruito e sottolineano la necessità di comprendere e difendersi meglio da questo tipo di malware.
Un nuovo articolo presenta il primo studio su come Industroyer One e Two, come vengono chiamati questi attacchi malware, operavano e interagivano con le apparecchiature fisiche del sistema di alimentazione. Il documento sarà presentato il 20 maggio al Simposio IEEE sulla sicurezza e la privacy (la conferenza di punta sulla sicurezza informatica dell’Institute of Electrical and Electronics Engineers) ed è stato condotto da un team di studenti dell’UC Santa Cruz, tra cui Luis Salazar, Sebastian Castro, Juan Lozano e Keerthi Koneru, e assistiti dal Professore Associato di Informatica e Ingegneria Alvaro Cardenas.
“Voglio sottolineare quanto siano vulnerabili i nostri sistemi: non so perché questo non abbia avuto un impatto maggiore in termini di consapevolezza della sicurezza, ma anche di politica e pianificazione”, ha affermato Cardenas. “Quando vedi uno stato nazionale che progetta malware per distruggere la rete elettrica di un altro paese, sembra essere un grosso problema. Le nostre infrastrutture critiche sono vulnerabili a questo tipo di attacchi, quindi dobbiamo essere meglio preparati a difenderci”.
Il malware utilizzato nell’attacco del 2016 è stato denominato Industroyer One, mentre il malware simile ma distinto utilizzato nel 2022 è stato soprannominato Industroyer Two. I Five Eyes, un’alleanza di intelligence che comprende Australia, Canada, Nuova Zelanda, Regno Unito e Stati Uniti, hanno attribuito entrambi questi attacchi al GRU, l’agenzia di intelligence militare russa.
Il primo attacco può essere visto come un esempio di intimidazione e di flessibilità di potere senza guerra, ha detto Cardenas, mentre il secondo è uno sguardo alla guerra nel mondo moderno.
“È un esempio di guerra moderna in quanto combina attacchi fisici e informatici”, ha affermato Cardenas. “Non è un evento isolato, questi eventi nel mondo cibernetico e nel mondo fisico si rafforzano a vicenda per creare il maggior danno possibile. Dopo che il nostro documento è stato accettato, abbiamo ricevuto notifica di un altro attacco che ha preso di mira la rete elettrica ucraina contemporaneamente a un attacco informatico e a un attacco cinetico”.
Gli attacchi malware non sono solo il primo e unico esempio di attacchi informatici contro una rete elettrica, ma fanno parte solo di un piccolo numero di attacchi malware conosciuti contro l’infrastruttura fisica in generale.
Il primo esempio di attacco malware contro infrastrutture fisiche è stato l’attacco Stuxnet scoperto nel 2010 e realizzato alcuni anni prima con l’intento di distruggere le centrifughe di un impianto di arricchimento dell’uranio in Iran. Prima di allora, gli attacchi malware avevano preso di mira solo i sistemi informatici classici come quelli IT e finanziari.
Gli attacchi dell’Industroyer hanno causato blackout locali durati ore. Questi tipi di attacchi richiedono che gli operatori risolvano il problema localmente e si riconnettano ai sistemi principali, e sono molto meno catastrofici di un collasso del sistema, in cui un errore si riversa attraverso il sistema “di massa” e potrebbe far crollare la rete elettrica di un intero paese.
“Questi attacchi sono riusciti a creare blackout locali, ma finora non si è verificato un collasso a livello di sistema. Un attacco che possa far crollare la rete sarà molto più pericoloso poiché l’intero paese rimarrebbe senza elettricità per diversi giorni”, ha detto Cardenas.
I ricercatori dell’UCSC non sono gli unici a studiare i due attacchi, ma il team di Cardenas ha scoperto che i white paper del settore non hanno fornito risposte soddisfacenti su come i dettagli del malware funzionavano e interagivano con le apparecchiature che controllavano l’infrastruttura. Il loro rapporto è il primo a dettagliare esattamente come il malware ha interagito con il mondo fisico.
Cardenas è riuscito a ottenere copie del malware, che hanno permesso ai ricercatori di costruire una sandbox, un ambiente software che ha ingannato il malware facendogli credere che si trovasse all’interno dell’ambiente specifico del settore della rete elettrica ucraina in modo che i ricercatori potessero capire esattamente come interagiva. con il sistema. Hanno emulato la sala di controllo di un operatore della rete elettrica con connessioni remote alle sottostazioni, nonché una rete di sottostazioni con connessioni locali alle apparecchiature elettriche. La loro sandbox è apertamente disponibile per essere utilizzata da altri ricercatori.
Utilizzando la sandbox i ricercatori hanno riscontrato somiglianze tra gli attacchi, ma hanno osservato una chiara evoluzione nel malware.
Entrambi gli attacchi Industroyer sono stati completamente automatizzati, il che significa che una volta lanciati non vi è stato alcun coinvolgimento umano e hanno violato aree della rete elettrica progettate per essere disconnesse da Internet per fornire loro una maggiore sicurezza. Entrambi gli attacchi hanno compromesso un computer Windows in una sottostazione o in una sala di controllo per manipolare lo stato degli interruttori automatici nella rete.
Industroyer One si comportava come un coltellino svizzero in quanto poteva attaccare sia i sistemi più vecchi che funzionavano con linee seriali sia i sistemi moderni che funzionavano con moderni sistemi di comunicazione. È stato sviluppato senza un obiettivo specifico e potrebbe attaccare direttamente dall’interno di una sottostazione della rete o dal centro di controllo a centinaia di chilometri di distanza. Si aspettava che i file di configurazione del sistema stesso guidassero il suo attacco. Tuttavia, queste caratteristiche non significavano che fosse privo di difetti.
“Aveva questa flessibilità nell’attaccare da qualsiasi luogo, ma abbiamo anche scoperto che aveva molti bug”, ha detto Cardenas. “C’erano diversi bug di implementazione che non seguivano il protocollo. Forse era [pensato per essere] molto mirato, ma abbiamo testato con diversi tipi di apparecchiature e ha funzionato con alcuni e non con altri a causa dei bug.”
Industroyer Two, d’altro canto, era molto specifico, con i suoi obiettivi integrati nel malware stesso, eliminando la necessità di leggere i file di configurazione. I ricercatori hanno potuto vedere che stava prendendo di mira tre indirizzi IP coordinati con dispositivi specifici, presumibilmente per controllare gli interruttori automatici in sottostazioni specifiche. I bug presenti in Industroyer One sono stati eliminati.
“Forse è stato perché col tempo hanno avuto il tempo di perfezionare il malware per eliminare i bug, ma sapevano anche meglio cosa stavano cercando”, ha detto Cardenas.
Osservando come gli attacchi Industoyer prendevano di mira un numero diverso di interruttori automatici, i ricercatori hanno scoperto che diversi tipi di attacchi di disconnessione possono avere risultati diversi nella rete elettrica. Hanno scoperto che, controintuitivamente, spegnere tutti gli interruttori automatici contemporaneamente non causa questi grossi problemi, poiché la disconnessione simultanea del carico e della generazione bilancia il sistema. Attacchi più strategici potrebbero mirare a creare squilibri, che possono causare problemi più grandi al sistema di massa.
Nel complesso, l’evoluzione osservata negli attacchi Industroyer dimostra che gli attacchi malware stanno diventando sempre più furtivi. Sebbene entrambi gli attacchi abbiano preso di mira i computer ospitati nei centri di controllo, i ricercatori ritengono che i futuri aggressori potrebbero tentare di controllare i “dispositivi elettronici intelligenti” (IED) incorporati nei sistemi stessi. Anche se per ora non esistono malware che li prendono di mira, potrebbero diventare bersagli interessanti in futuro poiché gli hacker potrebbero inviare loro comandi dannosi chiedendo loro di riferire agli operatori umani che tutto funziona correttamente.
Anche se gli attacchi dell’Industroyer sono avvenuti geograficamente lontano dagli Stati Uniti, la distanza non garantisce la sicurezza.
“Gli attacchi potrebbero avvenire qui, o praticamente ovunque nel mondo”, ha detto Cardenas. “I sistemi ora sono tutti controllati da computer e hanno praticamente la stessa tecnologia”.
Con questo in mente, i ricercatori stanno lavorando per configurare il loro sandbox in quello che viene chiamato “honeypot”, un tipo di software esca che finge di essere un sistema funzionante nella rete operativa di un servizio di pubblica utilità. Gli operatori di sistema sanno di non usare questa esca, quindi se viene rilevata attività nell’honeypot sapranno che proviene da un aggressore esterno, avvisandoli dell’attacco.
I ricercatori stanno progettando il loro honeypot in modo che sia sufficientemente generico da funzionare in vari sistemi di controllo, come le raffinerie di petrolio o i sistemi di trattamento delle acque, oltre a funzionare nelle reti elettriche.
Prevedono inoltre di facilitare l’incorporazione di assistenti IA nelle reti operative, che aiuterebbero a decodificare e rispondere agli attacchi in tempo reale quando si verificano.(30Science.com)
