Comprendere gli attacchi Scada

Comprendere gli attacchi Scada

L’attacco portato dal virus Stuxnet contro l’Iran nel 2010 ha alzato la consapevolezza sulle vulnerabilità dei sistemi industriali. Qual è il potenziale impatto di questi attacchi?

di: Ruchna Nigam* del 14/07/2015 10:25

Enterprise Management
 
Scada è il termine con cui si indicano sistemi usati per controllare apparati fisici. Questi sistemi sono usati in molte applicazioni industriali, come la gestione di turbine presso centrali energetiche, gasdotti e oleodotti; presso infrastrutture pubbliche, come i metal detector degli aeroporti; e anche presso infrastrutture private, ad esempio per controllare e monitorare processi quali riscaldamento, ventilazione e consumo energetico. Il fatto che un attacco contro un sistema del genere possa generare anche importanti danni fisici rende i sistemi Scada un obiettivo particolarmente attrattivo per gli hacker
Sfortunatamente, è stato necessario un attacco della scala di Stuxnet per far comprendere meglio alle realtà industriali il possibile impatto distruttivo di queste minacce informatiche. Se i tradizionali attacchi ai computer di solito producono danni non materiali, Stuxnet ha mostrato la capacità distruttiva di worm e virus avanzati, non solamente rispetto a dati aziendali ma anche a sistemi di gestione delle acque, produzione di sostanze chimiche ed infrastrutture energetiche. Stuxnet non è stato il primo virus a prendere di mira l’ambiente Scada. Qui di seguito una panoramica di alcuni attacchi significativi portati a Scada nel corso degli anni, divisi in tre categorie: 
  • Attacchi non confermati
1982: il primo attacco Scada potrebbe risalire già al 1982. Secondo una raccolta di documenti chiamata "Farewell Dossier", la Central Intelligence Agency (Cia) era stata coinvolta nella vendita di prodotti ed apparati ‘modificati’ all’Unione Sovietica. Un Trojan Horse era stato aggiunto alle apparecchiature e ha causato un’esplosione in un gasdotto transiberiano. Questo non è stato confermato ufficialmente nel Farewell Dossier, che menzionava l’installazione di turbine difettose ma non faceva parola dell’incidente.  
1999: Ci sono report di un attacco portato a Gazprom, il leader russo del petrolio, che citano l’installazione di un Trojan Horse sul loro sistema di condotte, grazie al supporto di un agente interno. Secondo il report, l’attacco ha interrotto il controllo dei flussi di gas per diverse ore, cosa però che non è mai stata confermata da Gazprom. 
  • Obiettivi non intenzionali
Diversi sistemi Scada hanno subito attacchi da virus che non erano stati specificatamente mirati a loro ma sono stati comunque colpiti. 
2003: Le centrale energetica nucleare Davis-Besse e l’azienda Csx negli Usa sono state vittime rispettivamente dei worm Slammer e Sobig. Slammer ha causato un denial of service che ha rallentato la rete, mentre Sobig ha inviato spam via e-mail.
Conseguenze fisiche: Nessuna per la centrale nucleare Davis-Besse, anche se Slammer ha bloccato la rete Scada di un altro impianto, che non è stato reso noto. Il virus Sobig ha infettato un computer nella sede centrale di CSX bloccando tra gli altri sistemi di segnalazione e consegna, provocando così ritardi dei treni.
 
2004: Aziende di trasporti come British Airways, Railcorp e Delta Airlines sono state colpite dal worm Sasser che ha sfruttato una vulnerabilità di tipo buffer overflow per propagarsi ad altri sistemi. Alcune varianti aggressive possono aver causato sovraffollamenti della rete.
Conseguenze fisiche: Ritardi di treni e aerei, in qualche caso cancellazione di voli.
 
2009: La marina francese è stata vittima del worm Conficker, che ha sfruttato una vulnerabilità di Windows, o ha indovinato le password degli amministratori per installarsi. In questo modo, il worm ha potuto propagarsi ad altre macchine vulnerabili, aggiornarsi e scaricare e installare malware aggiuntivo.
Conseguenze fisiche: L’impossibilità di scaricare piani di volo ha portato al blocco a terra degli aerei.
  
  • Attacchi mirati confermati
Ecco attacchi che sono stati specificatamente progettati e mirati a sistemi Scada 
2009: Aziende operanti nel settore Oil & gas e petrolchimico, come Exxon, Shell e BP, sono state colpite dal virus Night Dragon, distribuito utilizzando tecnologie di spearphishing. Il virus consentiva ai criminali di prendere il controllo remoto dei computer infetti.
Conseguenze fisiche: Nessuna, anche se alcuni report mostrano che i criminali sono stati in grado di ottenere blueprint operative di sistemi Scada ed in qualche caso di raccogliere dati
.
2010: Stuxnet era un worm impegnato in attività di spionaggio e riprogrammazione di sistemi industriali presso l’impianto nucleare di Natanz, in Iran. Il virus ha intercettato e modificato dati all’interno di un Programmable Logic Controller (PLC).
Conseguenze fisiche:
un quinto delle centrifughe nucleari iraniane sono state distrutte 
2014: Questi due virus sono stati identificati nel corso del 2014, anche se non sono stati ricevuti report dalle organizzazioni colpite. Havex è stato distribuito tramite il download di software Scada infetto da Trojan da siti vendor compromessi. Effettuava una scansione delle rete locale per identificare i server che raccoglievano dati dagli impianti industriali ed inviava i dati raccolti ad un server di command and control. In questo caso, le motivazioni degli hacker erano lo spionaggio ed il furto di dati.
Conseguenze fisiche: Nessuna
 
Blacken
è stato trovato sul server di command and control di una botnet esistente. Prende di mira gli utenti del software Scada, GE Cimplicity, ed installa eseguibili nella directory centrale del software. Alcuni di questi eseguibili sono bot che possono essere comandati remotamente. Inoltre, fa riferimento ai file di progettazione di Cimplicity, anche se il loro utilizzo esatto non è ancora chiaro.
Conseguenze fisiche: nessun caso segnalato
 
Infine, ma non per questo meno importante: secondo un report condotto dall’Ufficio Federale Tedesco per la Sicurezza delle Informazioni (Bsi), un attacco mirato portato alla rete informatica di un’acciaieria in Germania nel 2014 ha causato danni importanti. I criminali hanno usato messaggi email di spear phishing e una sofisticata strategia di social engineering per ottenere accesso alla rete informatica dell’acciaieria, e poi da lì alla rete di produzione. Il report descrive le competenze tecniche dei criminali come ‘molto avanzate’, con esperienza non solo sulla tradizionale sicurezza It ma anche conoscenze tecniche approfondite dei sistemi di control industriale (Ics) e dei processi di produzione utilizzati.
Conseguenze fisiche: Anche se i dettagli del malware in sé sono vaghi, il report afferma che l’attacco ha portato al collasso di singole componenti di controllo, e susseguentemente allo “spegnimento fuori controllo di un altoforno, rimasto in uno stato non definito che ha causato danni più che significativi.”
 
In sostanza, sulla base degli avvenimenti sopra riassunti, questo tipo di attacchi è ancora tutt’altro che ampiamente diffuso, nonostante il target Scada sia potenzialmente promettente. A parte Stuxnet ed il virus che ha colpito l’acciaieria tedesca, nessun altro attacco ha causato significativi danni fisici. Il motivo? Questi attacchi sofisticati non richiedono solamente approfondite competenze tecniche, oltre alla conoscenza dell’infrastruttura sotto attacco, ma anche risorse finanziarie significative, che non tutti i criminali hanno a disposizione. Considerando come il cybercrime continui ad evolversi, ci si potrebbe aspettare un aumento degli attacchi distruttivi, e di conseguenza la necessità per le aziende di prepararsi ad attacchi di questo tipo.

*Security researcher presso i FortiGuard Labs di Fortinet
Tag notizia:

Potrebbe anche interessarti:

 

Cosa ne pensi di questa notizia?

Attualità

...continua

Opinioni e Commenti

...continua
 
 
 

Vota