Immagina che uno dei tuoi dipendenti abbia fatto clic su un link contenuto in un email che ha consentito agli attaccanti di entrare nella tua rete. Immagina di non potere produrre energia, di aver perso il controllo dei tuoi sistemi e di essere in balia di un hacker in cerca di un riscatto o di uno Stato straniero intento a esercitare una leva politica. Cosa fare?
“Il sabotaggio e lo spionaggio contro organizzazioni CNI (Critical National Infrastructure) sono aumentati negli anni e non penso che abbiamo già visto tutto,” spiega Sami Ruohonen, Labs Threat Researcher della multinazionale finlandese di cyber security F-Secure.
Diversi avversari cercano sempre di entrare nelle reti aziendali di infrastrutture critiche. Ogni attaccante ha le proprie motivazioni, ognuno ha le proprie tecniche e tattiche. Queste infrastrutture sono principalmente a rischio di profittatori criminali o di stati con motivazioni geopolitiche.
I criminali informatici hanno acquisito strumenti sofisticati dopo le violazioni dei dati di Shadow Broker e Vault7. Hanno anche cambiato il loro modo di operare. Anche le tecniche di riciclaggio di denaro sono cambiate considerevolmente, alimentando richieste di ransomware sempre crescenti.
Le capacità di uno Stato sono ora più accessibili anche ad altri gruppi di hacker, il che offre loro risorse simili a quelle dei gruppi Advanced Persistent Threat (APT) sponsorizzati dagli Stati.
CryptoLocker, attivo nel 2013, è stata una delle campagne di “ransomware” più redditizie. Oltre 250.000 computer sono stati infettati negli ultimi quattro mesi di quell’anno. Coloro che l’hanno diffuso hanno guadagnato oltre 3 milioni di dollari prima che la botnet Gameover ZeuS, utilizzata per la sua distribuzione, venisse eliminata.
Il suo successo ha generato altri ransomware di nuova generazione come CryptoWall e TeslaCrypt. LockerGoga, una delle più recenti campagne di ransomware, ha crittografato tutto dopo aver infettato i sistemi di Norsk Hydro. Tuttavia, il braccio delle energie rinnovabili del produttore norvegese di alluminio non è stato colpito.
Gli stessi gruppi APT continuano a cercare di entrare e rimanere nelle reti CNI per opportunità di spionaggio in modo da poter esercitare la leva politica, se necessario. Come dimostra la nuova ricerca realizzata da F-Secure e Countercept, gli hacker sponsorizzati dagli Stati sono molto professionali e violeranno un’azienda anche se serviranno anni.
Spiccano nove differenti minacce per l’industria dell’energia:
• Operazione Sharpshooter (Lazarus Group)
• APT33
• GreyEnergy (il successore del gruppo BlackEnergy)
• Malware BlackEnergy 1, 2 e 3
• Malware Industroyer – anche noto come CrashOverride
• Dragonfly/Dragonfly 2.0
• Malware Havex
• Attacco ICS di tipo sidechannel
• Malware TRITON/TRISIS
Il nuovo report “The State of the Station: A report on attackers in the energy industry” sottolinea inoltre che gli APT ricercano opportunamente i propri obiettivi. Gli attaccanti hanno più tempo rispetto a chi difende e impiegheranno mesi per pianificare il loro attacco, identificando quali dipendenti possono cadere vittima dell’ingegneria sociale e testando se sono state applicate patch a vulnerabilità di sicurezza del software note.
Le persone rappresentano l’anello debole nel mondo della produzione e i dipendenti dell’azienda sembrano essere il target preferito dei gruppi APT, con il malware che viene diffuso attraverso link malevoli presenti nelle e-mail di phishing (“spear phishing”) anziché i tradizionali allegati di posta elettronica.
Gli utenti avrebbero dovuto scaricare malware o utilizzare pagine di accesso create per il phishing. Gli aggressori sarebbero poi passati alla rete di produzione, quindi alla rete ICS. Un’altra tendenza degna di nota lo scorso anno è stata il malware basato su e-mail in arrivo sugli smartphone tramite e-mail, che consente agli aggressori di accedere alle reti interne di un’azienda o ai dati sensibili tramite i dispositivi mobili delle persone.
“L’infrastruttura critica, per sua natura, è un obiettivo interessante per uno Stato straniero, anche durante il tempo di pace“, spiega Sami.
Molti sistemi sono stati costruiti decenni prima di Stuxnet, ee prima che la connettività a Internet 24/7 fosse la norma. Anche la sicurezza informatica non era una minaccia realistica quando questi sistemi venivano fabbricati. I vecchi protocolli e sistemi per computer non hanno mai avuto quei controlli di sicurezza integrati che oggi diamo per scontati.
Non è una questione di “se” ma di “quando” una rete verrà violata. Le aziende dell’industria dell’energia stanno combattendo un nemico invisibile e furtivo che ha obiettivi ad ampio raggio e che utilizza tattiche, tecniche e procedure invisibili (TTP).
Le organizzazioni non sono impotenti, tuttavia, e hanno una possibilità di adottare contromisure. Queste includono VUCA – un acronimo coniato dall’esercito statunitense per descrivere la volatilità, l’incertezza, la complessità e l’ambiguità (volatility, uncertainty, complexity, and ambiguity) dell’era post-Guerra Fredda.
In breve, il framework VUCA per le imprese del settore dell’energia dice di esaminare quali fattori esterni comportano rischi per un’organizzazione, chi potrebbe prenderla di mira, perché e in che modo,e di identificare quali risorse IT cruciali necessitano di una strategia per proteggerle tramite misure di security.
Sami Ruohonen di F-Secure consiglia inoltre alle aziende dell’industria dell’energia di rivedere lo stato della loro sicurezza informatica e di implementare le ultime tecnologie come una soluzione di rilevamento e risposta per gli endpoint (EDR).
Questo vale per le organizzazioni che non vogliono assumere team di cibersicurezza pienamente qualificati. È anche un modo rapido “per aumentare enormemente le funzionalità di rilevamento e risposta alle minacce avanzate e agli attacchi mirati che potrebbero aggirare le soluzioni endpoint tradizionali“, afferma Sami.
“Soluzioni gestite di EDR possono fornire funzionalità 24/7 di monitoraggio, invio di alert e risposta. Ciò significa – conclude Sami – che i team IT delle organizzazioni possono operare durante le ore lavorative per rivedere i rilevamenti emersi, mentre un team di risorse specializzate di cyber security si occupa di tutto il resto.”
Categorie