NEW YORK, NY - JULY 23: "Big Sandy the Sandworm" onstage as "Beetlejuice" celebrates 100 performances on Broadway with a cake designed by Carlo's Bakery at The Winter Garden Theatre on July 23, 2019 in New York City. (Photo by Bruce Glikas/WireImage)
Abbiamo già parlato di quella volta che un gruppo di Hacker tentò di avvelenare un impiato di depurazione d’acqua in florida, sottolineando come spesso non si presta attenzione alla sicurezza di sistemi informatici molto sensibili. Ora ci risiamo, questa volta parliamo di attacchi Hacker alle reti elettriche di distribuzione, che coinvolgono (e hanno coinvolto per diversi anni)sia l’Europa che gli USA.
In particolare, Dragos ha pubblicato il suo rapporto annuale sullo stato della sicurezza dei sistemi di controllo industriale. In questo rapporto, si menzionano quattro gruppi di hacker stranieri che avrebbero preso di mira (con successo) infrastrutture critiche.
Un esempio è il gruppo di Hacker conosciuto come Sandworm, noto anche come Unità 74455, e si tratta tenicamente di un’unità cibermilitare russa. Si ritiene che la squadra in questione sia dietro a diversi attacchi più o meno famosi: l’attacco informatico alla rete elettrica dell’Ucraina avvenuto del dicembre 2015, gli attacchi informatici del 2017 contro l’Ucraina utilizzando il malware Petya e l’attacco informatico alla cerimonia di apertura delle Olimpiadi invernali 2018.
Questi attacchi mettono in risalto diversi problemi dei sistemi informatici alla base di molte strutture importanti, governative e non.
Il gruppo che merita comunque più attenzione è Kamacite. Questo gruppo è descritto dal report come “partner strategico” di Sandworm e del GU, ovvero il servizio di intelligence delle Forze armate russe.
In particolare, secondo Dragos, Kamacite si è trovata a spalleggiare Sandworm nel fornirgli diversi punti d’accesso a reti sensibili, permettendo così di portare a compimento attacchi a sistemi sensibili.
I due gruppi agirebbero quindi in sinergia, spartendosi l’un l’altro i compiti di violazione dei sistemi informatici. Pare quindi che Kamacite abiamo preso ripetutamente di mira le società di distribuzione elettrica statunitensi, ma non solo: parliamo anche di aziende che si occupano di petrolio, gas e altre aziende industriali, sin dal (ormai lontano) 2017.
“È molto difficile che l’azione di Kamacite sia mirata solo alla raccolta di informazioni. Questi attacchi di Kamacite sono pericolosi perché, grazie alle loro connessioni con entità come Sandworm, possono provocare effetti devastanti”.
Dragos lega Kamacite alle intrusioni delle reti elettriche non solo negli Stati Uniti, ma anche a obiettivi europei ben oltre gli attacchi visti in Ucraina. Parliamo, per esempio, di una campagna di hacking contro il settore elettrico tedesco nel 2017:
“Ci sono state un paio di intrusioni di successo tra il 2017 e il 2018 da parte di Kamacite di ambienti industriali nell’Europa occidentale”.
L’azienda di cyber-sicurezza aggiunge ulteriori dettagli. Pare che i principali strumenti di intrusione utilizzati da Kamacite siano le classiche e-mail di spear-phishing contenente un payload con malware, con cui sono in grado di ottenere l’accesso a servizi basati sul cloud di Microsoft come Office 365 e Active Directory, nonché alle reti private virtuali. Una volta che il gruppo ottiene l’accesso, il gioco è fatto: sfruttano account utente validi per mantenere una presenza nella rete e usano tools, come Mimikatz, per accaparrarsi credenziali così da ottenere dati sensibili e manipolare risorse.
“Stanno apparendo molti gruppi e non molti se ne andranno- In tre o quattro anni, sento che stiamo per raggiungere il picco, e ciò sarà una catastrofe assoluta”.