ESET ha scoperto e bloccato un attacco contro le sottostazioni elettriche dell’Ucraina. Industroyer2 è solo uno dei tanti malware utilizzati dai cybercriminali per colpire le infrastrutture critiche. Il pericolo è stato evidenziato dal Dipartimento dell’Energia e tre agenzie statunitensi (CISA, FBI e NSA) con un avviso che illustra le tecniche sfruttate per colpire i sistemi di controllo industriale (ICS) e i dispositivi SCADA.
Cyberattacchi contro ICS e SCADA
L’avviso di sicurezza pubblicato dalla CISA (Cybersecurity and Infrastructure Security Agency) specifica che i cybercriminali hanno sviluppato tool custom per effettuare attacchi contro i PLC (Programmable Logic Controller) di Schneider Electric e Omron, oltre che contro i server OPC UA (Open Platform Communications Unified Architecture). Questi ultimi permettono l’interoperabilità tra sistemi che usano diversi protocolli di comunicazione.
Dopo aver ottenuto l’accesso alla rete interna, i cybercriminali effettuano una scansione per individuare i dispositivi ICS/SCADA vulnerabili. Attraverso una console di gestione remota possono eseguire varie azioni pericolose, come il caricamento di configurazioni e parametri errati, il furto delle password e attacchi DDoS. Le conseguenze possono essere catastrofiche e causare anche danni alle persone, in quanto i sistemi di controllo industriali sono utilizzati in raffinerie, centrali nucleari e altre infrastrutture critiche.
Nell’avviso non sono indicati i nomi dei malware. Dragos ritiene che uno di essi potrebbe essere Pipedream, sviluppato specificamente per colpire i PLC di Schneider Electric e Omron, ma può essere facilmente modificato per effettuare attacchi contro qualsiasi dispositivo industriale.
Anche un altro malware, denominato Incontroller da Mandiant, consente di attaccare i dispositivi di Schneider Electric e Omron. I cybercriminali possono disattivare i PLC, sabotare i processi industriali e causare la distruzione fisica dei macchinari.