Malware progettato per prendere di mira i sistemi di controllo industriale come reti elettriche, fabbriche, servizi idrici e raffinerie di petrolio rappresenta una rara specie di male digitale. Quindi, quando il governo degli Stati Uniti avverte di un pezzo di codice creato per prendere di mira non solo uno di questi settori, ma potenzialmente tutti, i proprietari di infrastrutture critiche in tutto il mondo dovrebbero prenderne atto.
Mercoledì, il Dipartimento dell’Energia, la Cybersecurity and Infrastructure Security Agency, la NSA e l’FBI hanno rilasciato congiuntamente un avviso su un nuovo set di strumenti per hacker potenzialmente in grado di intromettersi con un’ampia gamma di apparecchiature per sistemi di controllo industriale. Più di qualsiasi precedente toolkit di hacking dei sistemi di controllo industriale, il malware contiene una serie di componenti progettati per interrompere o assumere il controllo del funzionamento dei dispositivi, inclusi i controllori logici programmabili (PLC) venduti da Schneider Electric e OMRON e progettati per fungere da l’interfaccia tra i computer tradizionali e gli attuatori e sensori negli ambienti industriali. Un altro componente del malware è progettato per prendere di mira i server OPC UA (Open Platform Communications Unified Architecture), i computer che comunicano con tali controller.
“Questo è lo strumento di attacco al sistema di controllo industriale più ampio che qualcuno abbia mai documentato”, afferma Sergio Caltagirone, vicepresidente dell’intelligence sulle minacce presso la società di sicurezza informatica incentrata sull’industria Dragos, che ha contribuito alla ricerca all’advisory e ha pubblicato il proprio rapporto sul malware . Alla consulenza hanno contribuito anche i ricercatori di Mandiant, Palo Alto Networks, Microsoft e Schneider Electric. “È come un coltellino svizzero con un numero enorme di pezzi.”
Dragos afferma che il malware ha la capacità di dirottare i dispositivi di destinazione, interrompere o impedire agli operatori di accedervi, bloccarli permanentemente o persino usarli come punto d’appoggio per consentire agli hacker l’accesso ad altre parti di una rete di sistema di controllo industriale. Osserva che mentre il toolkit, che Dragos chiama “Pipedream”, sembra mirare specificamente ai PLC Schneider Electric e OMRON, lo fa sfruttando il software sottostante in quei PLC noti come Codesys, che viene utilizzato in modo molto più ampio in centinaia di altri tipi di PLC. Ciò significa che il malware potrebbe essere facilmente adattato per funzionare in quasi tutti gli ambienti industriali. “Questo set di strumenti è così grande che è praticamente gratuito per tutti”, afferma Caltagirone. “C’è abbastanza di cui preoccuparsi qui dentro.”
L’avviso CISA fa riferimento a un “attore APT” senza nome che ha sviluppato il kit di strumenti malware, utilizzando l’acronimo comune APT per indicare minaccia persistente avanzata, un termine per gruppi di hacker sponsorizzati dallo stato. Non è affatto chiaro dove le agenzie governative abbiano trovato il malware, o quale paese sia stato creato dagli hacker, anche se la tempistica dell’avviso segue gli avvertimenti dell’amministrazione Biden sul fatto che il governo russo ha fatto mosse preparatorie per portare a termine attacchi informatici dirompenti nel bel mezzo della sua invasione di Ucraina.
Dragos ha anche rifiutato di commentare l’origine del malware. Ma Caltagirone dice che non sembra essere stato effettivamente usato contro una vittima, o almeno, non ha ancora innescato effetti fisici reali sui sistemi di controllo industriale di una vittima. “Abbiamo grande fiducia che non sia stato ancora implementato per effetti dirompenti o distruttivi”, afferma Caltagirone.
