L’evoluzione delle minacce cyber negli ambienti OT

Quest’anno ricorre il decimo anniversario della scoperta di Stuxnet, il malware che ha fatto notizia prendendo di mira i sistemi di controllo, di supervisione e di acquisizione dati (Scada).

Il codice Stuxnet, particolarmente sofisticato, con oltre 500 kilobyte, è riuscito a farsi strada nei PC Windows e nelle reti, replicandosi più volte alla ricerca di software aggiuntivo. Si rivolge ai Controllori logici programmabili (PLC) che consentono l’automazione di processi elettromeccanici, come macchinari o processi industriali.

Dalla scoperta di Stuxnet, si sono susseguiti molti casi di attacchi cyber altrettanto sofisticati sistemi di operational technology (OT) in tutto il mondo. Ciò può essere dovuto in parte al fatto che le reti OT sono ora sempre più collegate a Internet, rendendole più vulnerabili agli attacchi dei criminali informatici, degli Stati e degli hacker. Infatti, secondo lo “State of Operational Technology and Cybersecurity Report” di Fortinet, il 74% delle aziende OT ha subito un’intrusione di malware negli ultimi 12 mesi, causando danni alla produttività, alle entrate, alla fiducia nel brand, alla proprietà intellettuale e alla sicurezza fisica.

Attacchi cyber significativi in ambienti OT e ICS

Valutando i più significativi cyberattacchi ICS dell’ultimo decennio, possiamo constatare fino a che punto gli attori della minaccia si siano spinti nelle loro capacità tecniche. Tuttavia, forse più sconvolgente, è la loro volontà di causare danni non solo alle infrastrutture digitali, ma anche a quelle fisiche – persino ai lavoratori e alle comunità. Stuxnet è forse uno dei primi di una serie di attacchi malevoli all’ICS che hanno messo in guardia le aziende di tutto il mondo in merito alla portata e all’impatto che possono avere sul mondo fisico.

L’incremento di nuovi meccanismi di minaccia e di attacco ha modificato radicalmente il funzionamento dei sistemi di controllo industriale (ICS) e dei sistemi Scada. Ricapitoliamo qui alcuni dei più significativi cyberattacchi su ICS che hanno avuto luogo nell’ultimo decennio, e la loro influenza sulle moderne strategie di sicurezza attraverso le infrastrutture critiche.

2011: Duqu

I ricercatori ungheresi di cybersecurity hanno scoperto un malware, identificato come Duqu, che assomigliava molto a Stuxnet in termini di struttura e design. Duqu è stato progettato per rubare informazioni mascherando le trasmissioni di dati come normale traffico HTTP e trasferendo file JPG falsi. La chiave di volta della scoperta di Duqu è stata la comprensione dell’importanza del lavoro di ricognizione nella campagna informatica di un attore di minacce, in cui il codice per il furto di informazioni è spesso la prima minaccia informatica messa in atto in una serie pianificata di attacchi aggiuntivi.

2013: Havex

Havex è un malware Remote Access Trojan (RAT), scoperto inizialmente nel 2013. Legato al gruppo noto come Grizzly Steppe, Havex prende di mira i sistemi ICS e comunica con un server C2 in grado di distribuire carichi modulari.

Il suo payload specifico per l’ICS ha raccolto informazioni sul server di comunicazione a piattaforma aperta Open Platform Communications (OPC), tra cui CLSID, nome del server, ID del programma, versione OPC, informazioni sul vendor, stato di esecuzione, conteggio dei gruppi e larghezza di banda del server – ed è stato anche in grado di enumerare i tag OPC. Comunicando con un’infrastruttura C2, il malware Havex è stato rilevante per la sua capacità di inviare istruzioni in merito alle funzionalità avanzate e sconosciute al malware.

2015: BlackEnergy

Nel 2015 si è scoperto che il malware BlackEnergy era utilizzato per sfruttare le macro dei documenti Microsoft Excel; il malware è entrato nelle reti tramite e-mail di spear-phishing inviate ai dipendenti. Se le tattiche impiegate da questi hacker erano relativamente poco sofisticate, l’episodio ha dimostrato come i cybercriminali fossero effettivamente in grado di manipolare le infrastrutture critiche su vasta scala.

2017: Triton

Il malware Triton, scoperto nel 2017, ha preso di mira i sistemi di sicurezza industriale. In particolare, un sistema di sicurezza strumentato (SIS), modificando il firmware in memoria per aggiungere funzionalità dannose. Questo ha permesso ai cybercriminali di leggere o modificare il contenuto della memoria e di implementare un codice personalizzato – insieme a una programmazione aggiuntiva per disabilitare, inibire o modificare la capacità di un processo industriale di fallire in modo sicuro. Triton è il primo malware specificamente progettato per attaccare i sistemi di sicurezza industriali che proteggono le vite umane.

Affrontare le sfide della sicurezza ICS/Scada

ICS comprende un ampio segmento dell’architettura stratificata OT, inclusi molti tipi diversi di dispositivi, sistemi, controlli e reti che gestiscono i processi industriali. I più comuni sono i sistemi Scada e i sistemi di controllo distribuito (DCS).

Mentre la maggior parte delle aziende ha implementato misure di sicurezza IT per anni, la sicurezza in ambito OT è un terreno in qualche modo nuovo. Con l’ascesa dell’IIoT (Industrial Internet of Things) e la successiva convergenza IT/OT, le industrie hanno perso l’ “air gap” che proteggeva i loro sistemi OT da hacker e malware. Di conseguenza, gli antagonisti hanno iniziato a prendere sempre più di mira i sistemi OT per sottrarre informazioni di proprietarie, interrompere le operazioni o commettere atti di terrorismo informatico contro le infrastrutture critiche, in parte perché il malware esistente funziona efficacemente contro i sistemi legacy implementati nelle reti OT che probabilmente non sono stati patchati o aggiornati, data l’assenza di ulteriori sviluppi o programmi.

Diverse sfide hanno giocato un ruolo essenziale nell’evoluzione dei cyber attacchi che hanno avuto un impatto sui sistemi OT nel corso degli anni, tra cui:

  • Mancanza di inventario dei dispositivi OT: è impossibile per le aziende difendere gli asset, sia con l’implementazione di patch che con l’esecuzione di audit di sicurezza, se non hanno una visibilità e un controllo completo dell’intero ambiente.
  • Mancanza di accessibilità alla rete remota: la maggior parte della tecnologia alla base dell’ICS si avvale di un accesso fisico limitato e di componenti e protocolli di comunicazione oscuri.
  • Hardware e software obsoleti: molti sistemi ICS e Scada si basano su hardware o sistemi operativi obsoleti che sono incompatibili o troppo critici per supportare le attuali tecnologie di difesa. Molti di questi hardware sono impiegati in ambienti in cui i sistemi non possono essere messi offline per il patch o l’aggiornamento.
  • Scarsa segmentazione della rete: gli ambienti OT tendono a operare con il presupposto dell’inherent trust – un modello che non si traduce bene in nuovi ambienti IT/OT convergenti. La pratica standard di sicurezza della ripartizione delle reti in segmenti funzionali che limitano i dati e le applicazioni che possono migrare da un segmento all’altro è molto poco utilizzata all’interno dell’ICS, nel suo complesso.
  • Controllo degli accessi limitato e gestione dei permessi: man mano che i sistemi precedentemente isolati o chiusi diventano interconnessi, i controlli e i processi che prescrivevano l’accesso spesso diventano complessi.

Fortunatamente, i rischi legati a minacce alla sicurezza che colpiscono sistemi ICS/Scada stanno diventando sempre più largamente riconosciuti e, di conseguenza, considerati prioritari da molte aziende . Gli enti governativi, tra cui l’Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) negli Stati Uniti e il Centre for Protection of National Infrastructure (CPNI) nel Regno Unito, pubblicano spesso consigli e linee guida sulle migliori pratiche di sicurezza per l’ICS.

Gli standard sono stati sviluppati anche dall’International Society of Automation (ISA), con un quadro di riferimento di “zone e condotti” che identifica le carenze più urgenti in merito a sicurezza delle reti ICS e fornisce linee guida per una gestione ottimizzata. Allo stesso modo, l’organizzazione non-profit ICS-ISAC è focalizzata sulla condivisione delle conoscenze sui rischi, le minacce e le migliori pratiche per supportare le varie realtà.

La necessità di supportare le infrastrutture critiche

Le considerazioni sulla sicurezza per l’ICS/Scada dovrebbero avere la massima priorità a causa delle potenziali ripercussioni di un attacco alla sicurezza fisica dei dipendenti, dei clienti e delle comunità. Ciò significa anche che la conformità normativa non può essere ignorata. Fortunatamente, adottando un approccio multi-layered alla sicurezza ICS/Scada, le organizzazioni possono migliorare significativamente la loro security posture generale e la strategia di mitigazione del rischio.

Antonio Madoglio

Director Systems Engineering Italy & Malta di Fortinet

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.