Lo CSIRT avvisa: in corso azioni mirate contro i sistemi industriali

Codice malevolo attacca alcuni sistemi ICS e SCADA, per estrarre informazioni ma anche per prendere il controllo delle infrastrutture OT

Sicurezza

Il CSIRT italiano ha rilanciato un alert già emesso da diverse agenzie di sicurezza e cyber security statunitensi - tra cui CISA, NSA e FBI - e riguardante la presenza in rete di attacchi mirati contro sistemi OT. Nel dettaglio, spiega lo CSIRT, sembrerebbe che siano stati sviluppati strumenti ad hoc, anche altamente automatizzati, che scansionano una rete-bersaglio, identificano specifici sistemi OT e cercano di violarli per poterli controllare da remoto.

Gli attacchi, che probabilmente sono un effetto collaterale del conflitto cyber tra Russia e Ucraina, riguardano vari sistemi ICS e SCADA. Tra quelli identificati come vulnerabili ci sono PLC Schneider Electric delle linee Modicon e Modicon Nano, controller di automazione Omron delle linee Sysmac NJ e NX, generiche unità server negli ambienti OPC Unified Architecture (OPC UA).

Per tutti questi bersagli potenziali, il codice sviluppato dagli attaccanti mira a raccogliere informazioni sul singolo sistema, simulare la sua console di controllo, modificare le sue configurazioni, iniettare altro codice malevolo, eseguire e ripristinare backup. Il codice ostile creato per attaccare i server OPC UA li identifica e li viola utilizzando credenziali predefinite o precedentemente compromesse.

Il codice che attacca i dispositivi Schneider Electric li identifica in rete e li viola trovando le loro password con un attacco brute-force, oppure causando il reset delle sessioni per acquisire le loro credenziali utente. Può anche mettere fuori uso i PLC con attacchi DoS o inviando pacchetti dati malformati. È anche in grado di inviare in rete comandi Modbus.

I controller industriali Omron vengono identificati in rete e analizzati sino a conoscere il loro indirizzo MAC e la topologia delle periferiche ad essi collegate. I PLC possono essere violati per caricarvi file arbitrari e agenti dannosi con funzionalità aggiuntive. Come anche per estrarre informazioni dai PLC stessi.

Sono in corso anche attacchi più tradizionali in grado di violare workstation OT Windows sfruttando una vulnerabilità nota in un driver utilizzato dalle schede madri della famiglia ASRock, che potrebbe permettere l’esecuzione di codice nel kernel di Windows. "Ottenuto l’accesso ai dispositivi interessati, gli attaccanti avrebbero quindi la possibilità di elevare i propri privilegi, effettuare movimenti laterali e compromettere eventuali ulteriori dispositivi relativi a funzioni critiche presenti nella rete", spiega lo CSIRT.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di ImpresaCity.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Red Hat Summit Connect e Open Source Day

Download

La nuova cyber security: cosa ne pensano i CISO italiani

Speciale

Internet of Things in Italia: Sviluppo e Novità

Monografia

La sostenibilità al centro

Speciale

Software Enterprise

Calendario Tutto

Feb 16
Commvault Connections on the Road | Milano
Mar 22
IDC Future of Work
Giu 08
MSP DAY 2023 - 8/9 Giugno

Magazine Tutti i numeri

ImpresaCity Magazine


Leggi il Magazine

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter