Cyberwar sulle infrastrutture critiche: i nuovi scenari - Agenda Digitale

sicurezza informatica

Cyberwar sulle infrastrutture critiche: i nuovi scenari

Stiamo imparando, anche a causa di questa pandemia, quanto siamo dipendenti dalle infrastrutture critiche. Ed è su queste che si stanno consumando conflitti di cui non sempre siamo consapevoli o di cui veniamo a conoscenza quando è troppo tardi. Il punto

29 Mar 2021
Lorenzo Damiano

Analista Hermes Bay

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

Photo by Anton Maksimov juvnsky on Unsplash

La cyberwar è fra noi, anche se non viene dichiarata o non ce ne accorgiamo: siamo pronti per un futuro di blackout nazionali e paralisi degli ospedali per colpa di attacchi cyber di potenze straniere?

Come rilevato anche dal DIS (Dipartimento delle Informazioni per la Sicurezza) nell’ultima relazione annuale al Parlamento, l’anno della pandemia di Covid-19 è stato caratterizzato da una minaccia cibernetica sempre più crescente e sofisticata.

La perdurante cyberwar combattuta fra attori statali ha visto una stratificazione di operazioni cibernetiche di varia natura, rivolte sempre più contro obiettivi critici, statali e non.

Operazioni cibernetiche in conflitti cinetici: il Nagorno-Karabakh

Nel caso di conflitti cinetici, le operazioni nel dominio cyber hanno assunto soprattutto la natura di azioni complementari nella forma di hybrid warfare e campagne di disinformazione.

quiz
Sistemi legacy, cloud e gestione infrastrutture: sai bilanciare le prestazioni? Rispondi al Quiz
Cloud
Cloud storage

Il conflitto tra Armenia e Azerbaigian nel Nagorno-Karabakh, ad esempio, ha visto entrambi gli schieramenti impegnati sia in campagne social coordinate e mirate a influenzare l’opinione pubblica locale e internazionale, sia nell’utilizzo di attacchi APT (Advanced Persistent Threat) indirizzati a istituzioni governative e sistemi SCADA (Supervisory Control and Data Acquisition) di infrastrutture energetiche, in particolare turbine eoliche.

Come rilevato da Cisco Talos, attori ignoti sono riusciti ad attaccare con successo sistemi informativi del governo azero e sottrarre dati sensibili, tra cui alcuni passaporti diplomatici. Gli attaccanti hanno utilizzato un RAT (Remote Access Trojan) denominato “PoetRAT” per via dei riferimenti letterari di cui era disseminato il codice e che sono stati aggiornati nel corso del tempo unitamente ai protocolli utilizzati: ciò ne ha reso più difficile l’identificazione e dimostrato l’attenzione degli attori al controllo internazionale sul loro operato. Interessante notare come, stante la difficoltà se non l’impossibilità di attribuzione di tali attacchi, sia ragionevole ipotizzare che il dominio cyber abbia offerto agli stati alleati delle rispettive fazioni, con una dotazione cyber più avanzata, la possibilità di influenzare le sorti del conflitto pur non intervenendo militarmente.

Cyber warfare: tecniche, obiettivi e strategie dietro gli attacchi “state-sponsored”

Operazioni cibernetiche in tempo di pace

L’attacco a SolarWinds

Va riconosciuto, d’altronde, come la maggior parte degli attacchi avvenga al di fuori di conflitti dichiarati e con dinamiche che, malgrado sfuggano al tipico confronto diretto fra potenze, possono avere effetti anche più dirompenti. Nonostante le accuse alla Russia da parte del Governo USA, rimane incerta l’attribuzione dell’attacco alla società SolarWinds che, tramite la compromissione della supply chain del loro software di monitoraggio IT Orion, presumibilmente avvenuta circa un anno prima della rilevazione, ha permesso l’intrusione in diverse istituzioni pubbliche, agenzie governative statunitensi e aziende private in tutto il mondo. Pur non potendone definire con certezza portata, durata ed estensione, il presidente di Microsoft Brad Smith ha evidenziato che “dal punto di vista dell’ingegneria del software è probabilmente lecito ritenere che questo sia il più grande e sofisticato attacco che il mondo abbia mai visto” e che a suo dire potrebbe aver richiesto la partecipazione di oltre 1000 specialisti, dimostrando uno spiegamento di risorse tipico di un’entità statale. La stessa Microsoft ha visto sottrarsi porzioni di codice sorgente di Azure, Intune ed Exchange e ha suggerito l’adozione dell’approccio Zero Trust, in modo da evitare in futuro la propagazione degli attacchi e garantire la salvaguardia di dati e credenziali di accesso.

Il tentato attacco a un impianto idrico in Florida

I colpevoli non sono stati rintracciati neanche nel caso del recente attacco a un impianto di depurazione delle acque in Florida e la cui dinamica pone inquietanti interrogativi. L’assenza di un movente economico, dal momento che la manipolazione del livello di idrossido di sodio nell’acqua avrebbe potuto avere unicamente un esito nocivo se non letale per la salute dei cittadini, porterebbe a escludere un caso di cybercrime in favore di un’azione ostile di cyber warfare, verosimilmente perpetrata da un attore statale. Inoltre, l’attacco è stato portato avanti mediante intrusione nel software di controllo remoto TeamViewer, tramite cui un dipendente aveva accesso ai sistemi di regolazione dell’acqua: intrusione fortunatamente rilevata dagli operatori dell’impianto che hanno provveduto a ripristinare i corretti livelli della sostanza nell’acqua.

Inevitabile notare come un attacco del genere riproponga le due tematiche che hanno caratterizzato il 2020 pandemico: da un lato la nostra dipendenza dalle infrastrutture critiche e i danni derivanti da una loro compromissione o interruzione di fornitura, dall’altro l’uso massiccio e improvviso di tecnologie digitali senza i necessari adeguamenti di sicurezza, aumentando a dismisura la superficie d’attacco. Per evitare tale tipo di attacchi, nel corso degli anni sono state sviluppate configurazioni di tipo air-gap volte a tenere scollegati dalla rete i sistemi di controllo industriale e ridurre le possibilità di intrusione.

Le operazioni del GRU contro le infrastrutture critiche occidentali

Gli attacchi a infrastrutture critiche, in particolare reti elettriche, si sono susseguiti nel corso degli anni in un crescendo culminato con i noti attacchi alla rete Ucraina da parte dell’unità 74455, nota come “Sandworm”, appartenente alla Direzione Principale delle Informazioni russa (GRU). Lo scorso ottobre diversi membri dell’agenzia di intelligence del Cremlino sono stati ufficialmente accusati dal Dipartimento di Giustizia statunitense di essere legati a questi attacchi, mentre altri sono stati sanzionati dall’Unione europea per l’attacco informatico del 2015 al Bundestag tedesco in virtù del Cyber Diplomacy Toolbox.

Tuttavia, stando al rapporto annuale sullo stato della sicurezza dei sistemi di controllo industriale presentato dalla società di cybersecurity Dragos, gli attacchi vedrebbero coinvolti anche altre componenti dell’intelligence russa e avrebbero preso di mira infrastrutture critiche nel settore energetico anche negli Stati Uniti e nell’Europa occidentale nel corso degli ultimi anni. In particolare, Dragos sostiene che il gruppo comunemente noto come Sandworm sarebbe in realtà composto, o a ogni modo coadiuvato, da altri gruppi denominati “Kamacite” ed “Electron”, deputati rispettivamente a ottenere l’accesso ai sistemi e a rilasciare i payload malevoli. Tramite l’utilizzo di tecniche di spear-phishing sarebbero in grado di accedere a prodotti Microsoft quali Office 365 o l’Active Directory di Windows Server, ottenere credenziali utente valide e permanere nel sistema per le successive azioni di esfiltrazione o manipolazione dati.

Auspicabilmente, la proposta di revisione della direttiva NIS dell’Unione Europea, unitamente agli sforzi compiuti da parte della NATO per uniformare e rinforzare le capacità di sicurezza cibernetica dei paesi membri dell’Alleanza, permetteranno di porre un argine a questo tipo di attacchi che potrebbero neutralizzare infrastrutture fondamentali con effetti domino e danni incalcolabili per la collettività.

Utility sotto attacco cyber: cosa impariamo dagli ultimi casi

Proliferazione di armi cibernetiche

Se al quadro appena tratteggiato si aggiunge il fatto che per gli attaccanti sta diventando sempre più facile ottenere un arsenale cibernetico in grado di compromettere anche i sistemi più avanzati e ben difesi, ecco che per il futuro va delineandosi uno scenario che richiederà di innalzare ulteriormente la soglia d’attenzione in vista di attaccanti sempre più numerosi e di varia natura.

L’attacco dello scorso dicembre ai danni della FireEye, tra le più importanti società di sicurezza informatica al mondo, ha fruttato agli ignoti attaccanti (si ritiene il gruppo russo APT29 “Cozy Bear”) l’intero strumentario a disposizione del famigerato Red Team e utilizzato per effettuare penetration test per i propri clienti. Ciò permetterà agli attaccanti, o a una platea ben più vasta qualora venissero resi pubblici, di conoscere nel dettaglio le tecniche di attacco e difesa utilizzate anche da altri attori, nonché di migliorare gli strumenti esistenti e rendere ancor più difficoltosa la già complessa procedura di attribuzione. Non c’è quindi da stupirsi se, come riportato dalla società di sicurezza israeliana Check Point Technologies, l’intelligence di Pechino avrebbe realizzato un malware, denominato “Jian”, riciclando porzioni di codice scritte originariamente dall’NSA statunitense.

Conclusioni

Anche se non ce ne accorgiamo, la cyberwar viene combattuta ogni giorno sotto i nostri occhi, ma potremmo realizzare troppo tardi la gravità dei rischi per le infrastrutture. Con l’emergere di nuove tecnologie dall’effetto dirompente quali il 5G, l’Internet of Things, la Smart City e l’Intelligenza Artificiale, la situazione potrà solo peggiorare in assenza di correttivi adeguati: l’estesa superficie d’attacco, combinata con la crescente dipendenza da tali sistemi renderebbe gli effetti di un attacco devastanti.

Tuttavia, il rischio maggiore che corriamo è che, come evidenziato nei casi riportati, le infrastrutture critiche su cui facciamo affidamento ogni giorno e che diamo per scontate nelle nostre vite possano essere già state compromesse da tempo e in attesa del necessario comando da un server remoto controllato dagli attaccanti. In caso di un conflitto vero e proprio, anche le maggiori superpotenze si troverebbero a soccombere ancor prima di aver aperto le ostilità, con danni ingenti soprattutto per la popolazione civile.

WEBINAR
26 Ottobre 2021 - 15:00
Multicloud senza sorprese: costi, ROI ed exit strategy. Ne parliamo con Stefano Mainetti
Cloud
Cloud storage
@RIPRODUZIONE RISERVATA

Articolo 1 di 4