Table of Contents Table of Contents
Previous Page  27 / 100 Next Page
Information
Show Menu
Previous Page 27 / 100 Next Page
Page Background

Automazione e Strumentazione

Ottobre 2017

CYBER SECURITY

approfondimenti

27

un vero e proprio blitz digitale organizzato, frutto

di una operazione a lungo termine, avvenuta tra-

mite infiltrazione e multiple riconnessioni gestite

nell’arco di mesi ed eseguita in modo altamente

sincronizzato su più siti in contemporanea.

Gli attaccanti non hanno avuto fretta di rag-

giungere una remunerazione o di creare danni

immediati, hanno preferito raccogliere per mesi

informazioni sull’operatore prima di decidere di

mettere in atto il loro piano.

Una volta chiarito il reale interesse per il loro tar-

get, hanno lanciato una sequenza di operazioni

ben orchestrata ed impossibile da arrestare una

volta iniziata.

Gli attaccanti hanno dimostrato notevoli cono-

scenze non solo nelle infrastrutture di rete, ma

anche di

sistemi di alimentazione power supplies

(UPS) e di sistemi ICS di controllo e supervi-

sione

. Inoltre, hanno dimostrato come fosse possi-

bile arrivare a colpire dispositivi di campo presenti

nelle sottostazioni, scrivendo

firmware corrotti

e

caricandoli sui dispositivi per renderli inutilizzabili.

La complessità del piano elaborato porta a dire

che questo attacco è uno degli esempi più illumi-

nanti per dimostrare quanto fragili possano essere

le infrastrutture industriali e questo è il motivo

per cui è stato scelto questo caso come esempio,

nonostante l’attacco non sia nè dei più recenti nè

dei più pubblicizzati.

L’analisi dettagliata delle operazioni messe in atto

ci può fornire un interessantissimo

panorama

dei principali metodi di attacco

a cui qualsiasi

azienda potrebbe trovarsi esposta.

La prima azione è stata

una campagna massiccia

di invio di email

(Spear phishing) al personale

della società vittima per cercare di guadagnare

l’accesso alla loro rete Business, saltando le nor-

mali protezioni da firewall presenti sulla rete IT.

All’interno di ogni email era presente un allegato

in uno dei tradizionali formati di file gestiti da

Microsoft Office. Tali allegati erano stati manipo-

lati in modo da infiltrare con attivazione tramite

macro

il codice malevolo del

malware

, chiamato

BlackEnergy3, all’interno dei documenti.

L’effetto di questo malware era di installare sul

PC corrotto uno

sniffer

di rete, ovvero un sistema

in grado di

catturare e analizzare tutti i dati

che passano all’interno della rete

, raccogliere

importanti informazioni sull’infrastruttura infor-

matica della vittima, ma anche di generare del

traffico completamente controllato dal malware.

Tutte le informazioni raccolte venivano spedite in

automatico verso dei server anonimi sotto il con-

trollo degli hackers.

Uno degli aspetti fondamentali di questa raccolta

di dati è stata la possibilità di

intercettare sia

delle credenziali di accesso alla rete business

della vittima sia altre necessarie per connettersi

da quella stessa rete fino alla

rete ICS

(Industrial

Control System), tramite connessioni VPN per-

fettamente lecite già presenti sulla rete IT.

Ottenute le credenziali, gli attaccanti sono stati

in grado di abusarne per muoversi liberamente

all’interno sia dell’intera rete ICS sia di quella

di campo. La presenza di tool di accesso remoto

normalmente utilizzati dalla vittima per le attività

di telegestione ha giocato ulteriormente a favore

degli attaccanti, fornendo loro un canale per

raggiungere anche gli HMI delle sottostazioni e

impartire comandi manuali malevoli.

Una volta raggiunta la rete ICS e ottenuta la pos-

sibilità di impartire dei comandi, la rete elettrica

risultava già compromessa, ma questo non è

bastato agli hacker, che hanno voluto assicurarsi

anche un riparo da eventuali intromissioni durante

l’attacco vero e proprio. A questo scopo, gli attac-

canti hanno preso di mira dei convertitori

seriali-

to-ethernet

normalmente utilizzati per connettere i

dispositivi di campo alla rete ICS. Una volta termi-

nato di impartire i comandi indesiderati, gli attac-

canti hanno provveduto a

caricare su questi con-

vertitori dei firmware fallati

, in modo da rendere

inaccessibili i nodi a valle del convertitore stesso.

Non contenti, hanno utilizzato una versione modifi-

cata di

KillDisk

– noto malware in grado di cancel-

lare completamente i dati memorizzati in un hard

disk – con il duplice scopo di cancellare i

master

boot record

dell’organizzazione vittima, così da

impedire un veloce ripristino della situazione, e al

contempo eliminare le loro tracce dai Log.

Per rendere ancora più difficile la risoluzione dei

danni da loro provocati, i cyber criminali hanno

quindi

preso di mira anche i sistemi UPS utiliz-

zati nei data center della vittima

, in modo da pro-

grammare un fuori servizio a seguito dell’attacco.

Per concludere, infine, hanno fatto in modo di

provocare un

denial-of-service

telefonico, inon-

dando il call center di Kyivoblenergo con tantis-

sime telefonate fasulle, così da

impedire ai citta-

dini colpiti dal blackout di prendere contatto

con la società fornitrice del servizio e accedere

al servizio di assistenza

.

La complessità di questa attività spiega bene i mo-

tivi per cui la stima del danno economico legato

all’attacco descritto non sia ancora stata comple-

tata, dato che andrebbe preso in considerazione

non solo il danno diretto da BlackOut, ma anche

le spese di ripristino ed il successivo ammoderna-

mento dell’impianto, nonché i gravi danni all’im-

magine dell’azienda coinvolta.

1 22 23 24 25 26 27 28 29 30 31 32 33 100  FlippingBook