Insieme, in altre parole, i gruppi che Dragos chiamano Kamacite ed Electrum costituiscono quello che altri ricercatori e agenzie governative chiamano collettivamente Sandworm. “Un gruppo entra, l’altro gruppo sa cosa fare quando entrano”, dice Caltagirone. “E quando operano separatamente, cosa che li guardiamo anche fare, vediamo chiaramente che nessuno dei due è molto bravo nel lavoro dell’altro”.
Quando WIRED ha contattato altre società di intelligence sulle minacce, tra cui FireEye e CrowdStrike, nessuno ha potuto confermare di aver visto una campagna di intrusione relativa a Sandworm che prendeva di mira le utility statunitensi, come riportato da Dragos. Ma FireEye ha precedentemente confermato di aver visto una diffusa campagna di intrusione mirata agli Stati Uniti legata a un altro gruppo GRU noto come APT28 o Fancy Bear, che WIRED ha rivelato l’anno scorso dopo aver ricevuto un’e-mail di notifica dell’FBI inviata agli obiettivi di quella campagna. Dragos ha sottolineato all’epoca che la campagna APT28 condivideva l’infrastruttura di comando e controllo con un altro tentativo di intrusione che aveva preso di mira una “entità energetica” statunitense nel 2019, secondo un avviso del Dipartimento dell’Energia degli Stati Uniti. Dato che APT28 e Sandworm hanno lavorato mano nella mano in passato, Dragos ora fissa quel settore energetico del 2019 che prende di mira Kamacite come parte della sua più ampia follia pluriennale di hacking mirata agli Stati Uniti.
Il rapporto di Dragos prosegue citando altri due nuovi gruppi che prendono di mira i sistemi di controllo industriale statunitensi. Il primo, che chiama Vanadinite, sembra avere collegamenti con l’ampio gruppo di hacker cinesi noto come Winnti. Dragos incolpa Vanadinite per gli attacchi che hanno utilizzato il ransomware noto come ColdLock per interrompere le organizzazioni delle vittime taiwanesi, comprese le aziende energetiche di proprietà statale. Ma punta anche a Vanadinite che prende di mira gli obiettivi di energia, produzione e trasporto in tutto il mondo, inclusi Europa, Nord America e Australia, in alcuni casi sfruttando le vulnerabilità delle VPN.
Il secondo gruppo appena nominato, che Dragos chiama Talonite, sembra aver preso di mira anche le aziende elettriche nordamericane, utilizzando e-mail di spear phishing contenenti malware. Non ha collegamenti chiari con gruppi di hacker precedentemente noti. Ancora un altro gruppo che Dragos ha soprannominato Stibnite ha preso di mira le aziende elettriche e i parchi eolici azeri utilizzando siti Web di phishing e allegati e-mail dannosi, ma non ha colpito gli Stati Uniti per quanto ne sappia la società di sicurezza.
Sebbene nessuno nell’elenco in continua crescita di gruppi di hacker che prendono di mira i sistemi di controllo industriale in tutto il mondo sembri aver utilizzato tali sistemi di controllo per innescare effetti dirompenti effettivi nel 2020, Dragos avverte che il numero di questi gruppi rappresenta una tendenza preoccupante. Caltagirone indica una rara ma relativamente grezza intrusione che ha preso di mira un piccolo impianto di trattamento delle acque a Oldsmar, in Florida, all’inizio di questo mese, in cui un hacker ancora non identificato ha tentato di aumentare notevolmente i livelli di liscivia caustica nell’acqua della città di 15.000 persone. Data la mancanza di protezioni su questo tipo di piccoli obiettivi infrastrutturali, un gruppo come Kamacite, sostiene Caltagirone, potrebbe facilmente innescare effetti diffusi e dannosi anche senza l’esperienza del sistema di controllo industriale di un gruppo partner come Electrum.
Ciò significa che l’aumento di gruppi anche relativamente poco qualificati rappresenta una vera minaccia, dice Caltagirone. Il numero di gruppi che prendono di mira i sistemi di controllo industriale è cresciuto continuamente, aggiunge, da quando Stuxnet ha mostrato all’inizio dell’ultimo decennio che è possibile l’hacking industriale con effetti fisici. “Stanno apparendo molti gruppi e non molti se ne andranno”, dice Caltagirone. “Tra tre o quattro anni, sento che stiamo per raggiungere un picco, e sarà una catastrofe assoluta”.
Altre fantastiche storie WIRED
.
