3 lezioni da imparare: attacco informatico contro un’acciaieria tedesca

Privacy, Sicurezza

Tra tutte le notizie quotidiane sui vari attacchi informatici, ci fu un caso inquietante che si è un po’ perso in mezzo a tanto rumore generale.

Nel 2014, un attacco contro un’acciaieria tedesca ha causato l’interruzione del processo di produzione: i cybercriminali sono entrati nella rete aziendale e hanno inserito il codice dannoso nell’ambiente di produzione industriale. Questo ha impedito di spegnere un altoforno, causando danni enormi.

Sebbene non sappiamo quali siano stati nello specifico i danni causati, sappiamo però che gli altoforni industriali sono enormi, alti 30 metri e larghi 10. Possono costare milioni di dollari e producono centinaia di migliaia di dollari di valore al giorno. Il downtime e la rimessa a nuovo hanno un costo pesantissimo.

E’ raro sentire di casi confermati dove gli attacchi informatici hanno causato danni fisici. Principalmente perché non ne deriva un profitto economico diretto per i criminali informatici, il che rende improbabile che i cybercriminali dirigano in questa direzione la loro attenzione. E poi perché raramente attaccanti esperti lasciano tracce.

NIENTE DI NUOVO SOTTO IL SOLE

Prendere di mira processi industriali o aziendali non è nulla di nuovo.

Lo scorso anno, i ricercatori IBM Trusteer hanno trovato una variante del malware Citadel che ha attaccato le aziende petrolchimiche del Medio Oriente. All’inizio del 2014, F-Secure stava seguendo da vicino una versione del Trojan Havex per l’accesso remoto (RAT) che era stato usato per attaccare i siti di produttori di sistemi di controllo industriali andando a infettare il download dei loro software. L’obiettivo era ingannare clienti ignari che scaricavano gli aggiornamenti malevoli del software di supervisione e controllo e di acquisizione dati SCADA (ora con 100% di Havex in più!), che avrebbe permesso agli attaccanti di accedere alle loro reti una volta in uso.

Il più famoso è stato Stuxnet (scoperto nel 2010), una sofisticata arma informatica usata dagli US e da Israele per sabotare le centrifughe di un’impianto di arricchimento dell’uranio. Dopo la sua scoperta nel 2010, molti esperti (inclusi quelli di F-Secure) avevano ammonito sul fatto che è solo questione di tempo prima che attacchi distruttivi similari si verifichino ancora.

Molti sistemi di controllo industriale e di produzione sono notoriamente pieni di vulnerabilità, nonostante il fatto che siano presenti in sistemi aziendali e di infrastruttura critici. Esempi di asset critici sono rappresentati da servizi pubblici, reti finanziarie, ed, ebbene sì, anche acciaierie.

Nel caso dell’acciaieria tedesca, gli attaccanti sono riusciti ad accedere alla rete aziendale usando un attacco di spear-phishing mirato, che ha ingannato l’utente causando l’accesso al contenuto malevolo. Da qui, gli attaccanti sono stati in grado di entrare nei sistemi di controllo industriale, e comprometterne i componenti in modo da impedire al forno di spegnersi regolarmente, causando così il danno.

QUAL E’ LA LEZIONE CHE POSSIAMO IMPARARE DA QUESTO ATTACCO?

  1. Proteggi gli elementi basilari: gli attacchi di spear-phishing attraverso le email sono uno strumento comune nelle tasche degli attaccanti. Tieni aggiornati i sistemi di protezione delle email e di filtro anti-spam, e forma i tuoi dipendenti a pratiche corrette di pulizia dell’email.
  2. Mantieni i software aggiornati: le email malevole devono sfruttare qualche vulnerabilità per infettare un sistema. La maggior parte di questi attacchi sono sferrati contro vulnerabilità ben note, quindi basta mantenere semplicemente aggiornati tutti i tuoi software per prevenire la maggior parte degli attacchi.
  3. Isola i sistemi di produzione: dal momento che gli attaccanti sono ‘saltati’ dalla rete aziendale ai sistemi di produzione, è lecito ritenere che la rete aziendale aveva una connessione con il sistema di controllo industriale. Se non è assolutamente necessario che i tuoi sistemi di produzione siano connessi a Internet, anche se attraverso la rete aziendale, è meglio tenerli separati.

ATTACCHI INFORMATICI IN AZIONE: PRIMA PARTE

Questo post è il primo di una serie dove andiamo ad analizzare attacchi reali contro le aziende. Prende ispirazione dall’eBook “Sfatiamo i miti della cybersecurity: Proteggere le operazioni aziendali”, a cui seguiranno altri eBook sui temi della cybersecurity. E’ possibile scaricare l’eBook qui.

0 Commenti

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Potrebbe anche interessarti

%d blogger hanno fatto clic su Mi Piace per questo: