Intervista di approfondimento a Robert Lipovsky, Senior Malware Researcher di ESET.
Il 17 Dicembre 2016 la capitale ucraina Kiev ha subito un blackout di 75 minuti e le indagini degli investigatori locali hanno confermato che l’interruzione di energia fu causata da un attacco informatico. Subito dopo i ricercatori ESET hanno analizzato un nuovo e sofisticato malware, che si sospetta possa essere coinvolto in questo caso. Lo hanno chiamato Industroyer – la più grande minaccia ai sistemi di controllo industrial (ICS) dai tempi dello Stuxnet.
Questo pericoloso malware è stato sviluppato per sfruttare le vulnerabilità di questi sistemi e dei protocolli utilizzati, che sono stati sviluppati decenni fa senza riguardo delle misure di sicurezza.
Riportiamo di seguito l’intervista di approfondimento sul tema a Robert Lipovsky, Senior Malware Researcher di ESET.
Cos’è Industroyer?
Industroyer è un pericoloso strumento nelle mani di un criminale informatico determinato, preparato e adeguatamente finanziato. Il malware è in grado di persistere nella rete compromessa e interferire direttamente con i processi critici in funzione in quella struttura.
Quanto è pericoloso l’Industroyer?
I potenziali danni possono variare dalla semplice interruzione nella distribuzione di energia, passando per vari guasti, fino a danni più gravi alle apparecchiature e tutto ciò può cambiare da una sottostazione all’altra.
Come è possibile?
Il problema principale è che questi sistemi industriali e i relativi protocolli, obiettivo dell’Industroyer, sono stati sviluppati decenni fa e non sono stati ideati per essere sicuri se connessi alla rete.
Perché l’Industroyer viene paragonato allo Stuxnet?
I criminali dietro allo Stuxnet sapevano sicuramente cosa stavano facendo: puntavano al programma nucleare iraniano ed il malware è stato in grado di prendere il controllo diretto delle turbine delle strutture nucleari.
Lo stesso vale per l’Industroyer e per i criminali che ci sono dietro. Hanno dimostrato una profonda conoscenza dei sistemi di controllo industriale e, all’interno del malware, hanno implementato funzioni capaci di comunicare direttamente con gli switch e gli interruttori dei circuiti utilizzati nelle sottostazioni della rete elettrica.
Industroyer è responsabile dei blackout in Ucraina?
Il blackout più importante è quello che si è verificato nel Dicembre del 2015 e che ha coinvolto circa 250000 famiglie in diverse regioni del paese, privandole di energia per diverse ore. Questo evento è stato causato dal malware chiamato Black Energy. Nel Dicembre del 2016, esattamente un anno dopo, c’è stato un altro blackout di minore entità e che è durato soltanto un’ora, interessando una sola regione, ma che è stato provocato usando un malware molto più avanzato. Proprio in questo caso si sospetta sia stato usato l’Industroyer.
Chi è il responsabile di questo attacco?
Attribuire la colpa di questi attacchi è sempre molto complesso e spesso impossibile. Questa volta non ci sono indizi e vogliamo evitare qualsiasi speculazione.
Qual è il risultato principale emerso dall’analisi dell’Industroyer?
L’impatto relativamente basso del recente blackout è in forte contrasto con il livello tecnico e la complessità di un malware come l’Industroyer. Quindi la possibile spiegazione – opinione condivisa da la maggior parte degli esperti di sicurezza – è che si sia trattato di un test su larga scala.
Se questa sia o meno la verità, quello che emerge dalla nostra analisi è che questo evento dovrebbe rappresentare un campanello d’allarme per tutti i responsabili della sicurezza di sistemi critici nel mondo.
Per maggiori informazioni sul malware Black Energy, responsabile di un’interruzione di energia nel Dicembre del 2015 e che ha coinvolto circa 250000 famiglie ucraine è possibile leggere questo articolo del blog di ESET Italia.
Per maggiori informazioni sul malware Industroyer, il principale sospettato nel recente blackout di Dicembre 2016 è possibile leggere l’analisi completa del malware Industroyer sul blog di ESET Italia.
Lascia un commento