Stuxnet, il malware che ha fatto la storia degli attacchi cyber

Tempo di Lettura: 4 minuti - Livello di Difficoltà: medio

Malware introdotti tramite chiavetta USB, errore umano, phishing, intrusioni tramite accesso remoto, sono alcuni esempi di minacce che colpiscono il comparto industriale. Le dinamiche di attacco scelte dagli hacker continuano a evolversi, con molteplici casi che lo testimoniano. Parliamo di Stuxnet: evento emblematico del 2010, in cui l’attacco ai dispositivi industriali ha segnato le tecnologie OT per complessità e livello di rischio.

Chi sono gli attaccanti

Come da cliché, lo script kid è il tipico studente di informatica che tenta di bucare i sistemi aziendali con pochi strumenti e per solo divertimento.

Per il contesto produttivo, più pericolosi sono certamente gli attacchi sofisticati e di spionaggio industriale. In questi casi l’obiettivo è copiare il dato; la difficoltà sta nel rintracciare l’origine dell’attacco e quale dispositivo precisamente prende di mira.

Nel caso di ransomware invece vengono criptati per intero i sistemi, per il cui sblocco l’attaccante richiede in genere un riscatto di natura economica oppure minaccia la diffusione di dati sensibili sul dark web.

Infine, nel caso di gruppi organizzati vi è la vera e propria intenzionalità, spesso a scopo militare, di colpire una determinata organizzazione.

Gli attaccanti più “popolari” nel mondo OT di oggi sono gli hacker e gli insider (in prevalenza artefici di attacchi ransomware o di spionaggio industriale).

 

Approfondimento consigliato:

 

La genesi degli attacchi all’OT: il malware Stuxnet

Stuxnet è stato il primo evento famoso che ha colpito l’OT, quando un gruppo organizzato con fini militari ha sabotato una centrale di arricchimento di uranio iraniana, causando il blocco delle centrifughe.

Il virus è stato propagato tramite chiavetta USB; il malware è rimasto per tempo latente all’interno di sistemi collegati a PLC Siemens con una configurazione definita.

Quando il malware ha raggiunto la configurazione bersaglio ha danneggiato meccanicamente le centrifughe attraverso accelerazioni e decelerazioni repentine. Tuttavia, agli occhi dell’operatore il sistema SCADA restituiva dati sulle centrifughe costanti, impedendo di accorgersi di cosa realmente stesse succedendo.

 

La dinamica di Stuxnet

L’attacco Stuxnet è spesso citato nella letteratura di cyber security per far capire, sia dal punto di vista tecnologico che della dinamica di attacco, quale rischio corrono i dispositivi OT.

Questo malware diffuso tramite attacco volontario si è propagato alla ricerca di stazioni di ingegneria (macchine Windows PC dove erano installati specifici programmi per la gestione dei progetti), e in particolare legate al software Siemens Step 7, software utilizzato per dialogare e programmare il PLC.

Chiaro è che se l’attacco fosse stato rivolto a un qualsiasi altro dispositivo dello stesso tipo, la propagazione del malware avrebbe avuto lo stesso effetto; è fondamentale capire che il caso di studio non è tanto dipeso dal dispositivo, quanto dalla complessità dell’attacco.

Ogni volta che il malware rilevava l’installazione dello Step 7, lavorava in parallelo:

  • Modificando i data-block, ossia inserendo del codice che veniva auto eseguito dal PLC
  • Alterando la DLL, libreria che lo Step 7 usa per dialogare col PLC, che veniva sovrascritta
  • Mascherando la parte di progetto lato HMI/SCADA, cioè mostrando all’operatore la normale esecuzione, nonostante l’attacco in corso

L’elaborazione dell’attacco è stata complessa, considerando la modifica del progetto che è stata messa in atto, e che ha alterato il funzionamento dell’impianto. Inoltre, questo caso mostra la pericolosità della criminalità organizzata che, con un alto livello di conoscenze, riesce a spingersi fino alla riscrittura del codice (il che può far perdere completamente il controllo dell’impianto).

Stuxnet risale al 2010, da lì si sono susseguiti molti nuovi attacchi alla produzione con dinamiche diverse più o meno complesse. Il trend di attacco è in crescita, ciò che fa la differenza è essere pronti o meno a contenere il danno.

 

Approfondimento consigliato:

 

Altri casi significativi di attacco all’industria

Bonfiglioli, luglio 2019. L’azienda è stata colpita da un “cryptolocker”, un virus che ha criptato parte dei dati aziendali più sensibili, e che si è propagato all’interno della rete, raggiungendo numerosi dispositivi.

In attacchi di questo tipo, la restituzione del dato criptato avviene solo a seguito di riscatto (tipicamente in Bitcoin), equivalente a 2,4 milioni di euro nel caso di Bonfiglioli.
Il malware cryptolocker entra nella rete aziendale IT attraverso il dominio. Lo scambio di dati fra IT e OT apre le porte all’attaccante per colpire tutti i dispositivi industriali legati allo stesso dominio di Active Directory.

La prevenzione della security in casi del genere può essere fatta, per esempio, attraverso la segmentazione della rete, che aiuta a limitare la propagazione del virus; ma che in questo caso è mancata.

 

Luxottica, settembre 2020. L’azienda è stata vittima di un tentativo di intrusione dall’esterno che ha causato la sospensione del secondo turno produttivo di due stabilimenti in Italia, oltre al blocco totale delle attività produttive in Cina. L’attacco ransomware è stato fermato dopo 24 ore, isolando il malware attraverso una bonifica della rete.

In questo caso, il danneggiamento all’azienda è stato circoscritto grazie alla preventiva adozione da parte di Luxottica di procedure di Security Management, che hanno impedito il data breach.

 

Strategie di contrasto

Uno dei cardini della cyber security OT è quindi l’analisi della minaccia, per proteggersi da attacchi ransomware tanto quanto da attacchi ancor più sofisticati.

La cyber security è un meccanismo continuo di prevenzione dei rischi, sostenuto da:

  • Impiego di personale qualificato
  • Attenzione agli errori e alle disattenzioni interne
  • Adozione di tecnologie di security
  • Specificità dei requisiti contrattuali dei clienti
  • Implementazione di standard di conformità, nello specifico dello standard IEC 62443

cyber security ot

Hai bisogno di assistenza immediata per la Cyber Security industriale?

 

Contattaci

Vuoi aiutare la nostra pagina a crescere?

Seguici su Linkedin oppure Iscriviti alla nostra newsletter

 

Torna all'elenco degli articoli
Send this to a friend