Superare le difese di alcuni sistemi industriali è più facile di quanto sembri, tanto che FireEye ha monitorato i raid di alcuni hacktivisti poco abili. In alcuni casi, però, gli obiettivi non erano quelli che pensavano...

Quando pensiamo agli attacchi ai sistemi OT, cioè industriali, immaginiamo hacker estremamente competenti che hanno a disposizione grandi risorse. Personaggi loschi che prendono di mira una centrale elettrica o una fabbrica e investono molto tempo per scoprirne le vulnerabilità e poi sfruttarle a proprio vantaggio. In realtà non è sempre così e, spesso, ci sono attori che non puntano su una particolare infrastruttura, ma vanno alla ricerca di quelle che possono essere facilmente attaccate anche da chi non è particolarmente esperto. FireEye Mandiant ha analizzato alcuni di questi attacchi, lanciati tra il 2020 e il 2021. Nessuno di essi ha avuto un impatto serio sul mondo reale, ma ciò che preoccupa è la frequenza di questo tipo di violazioni. 

Nel marzo 2020, FireEye ha indagato su una serie di attacchi a numerosi sistemi di controllo industriale (ICS) in tutto il mondo, in paesi come il Nord America, l'Europa centrale e occidentale e l'Asia. Una raffica di attacchi che è andata avanti per cinque giorni, durante i quali gli aggressori hanno condiviso filmati a bassa risoluzione delle loro azioni. Stiamo parlando di sistemi critici, tra cui una diga, un sistema per l'esplorazione mineraria, un'installazione solare. Nei video, gli aggressori hanno mostrato la loro capacità di modificare alcuni parametri operativi dell'HMI, l'interfaccia uomo-macchina.

Le intrusioni sono avvenute principalmente attaccando le connessioni VNC (virtual network computing), per poi prendere il controllo delle interfacce molto intuitive, che consentono anche a persone prive di competenze di poter modificare alcuni aspetti del funzionamento del sistema. 

Si “consola” il fatto che queste azioni avessero uno scopo politico e dimostrativo, tanto che gli annunci delle violazioni sono stati da parte di gruppi di attivisti filo-palestinesi, apparentemente poco disposti a arrecare gravi danni ma solo a dare voce alle proprie proteste. Tuttavia, il fatto che persone con competenze limitate siano riuscite a penetrare in questi sistemi è estremamente preoccupante.

Alcune delle operazioni di hacking lanciate da attori dilettanti mostrano evidentemente scarse capacità di OT. In un'occasione, un hacker ha pubblicato una foto di un sistema di controllo ferroviario che sosteneva di aver violato. L'attacco oggettivamente è avvenuto ma l'ingenuo hacker non si è accorto di un dettaglio che invece non è sfuggito agli investigatori di FireEye: il sistema ferroviario in questione non controllava un vero e proprio impianto, ma un insieme di modelli. 

Ancora più significativo è l'esempio di un aggressore che ha affermato di aver eluso le difese di un "sistema del gas" israeliano. Anche in questo caso l'obiettivo è mancato di molto: l'aggressore, in questo caso, aveva infatti preso il controllo del sistema di ventilazione della cucina di un ristorante in Israele.

Curioso che questi attori pubblichino anche tutorial su come effettuare questo tipo di attacco: guide molto semplici, che spiegano più che altro come trovare sistemi vulnerabili tramite il motore di ricerca IoT Shodan o andando a cercare tramite Censys i sistemi con il 5900 "porta aperta. 

Se fortunatamente questi aggressori non intendevano fare gravi danni, ma solo azioni dimostrative, lascia comunque a bocca aperta che persone così inesperte possano accedere a sistemi remoti con relativa facilità. Anche inconsapevolmente, questi hacktivisti potrebbero fare seri danni. Ma, soprattutto, con le loro incursioni per attirare l'attenzione di attori molto più competenti, che potrebbero sfruttare le vulnerabilità per azioni più concrete. 

Devi effettuare il login per poter commentare. Se non sei ancora registrato, puoi farlo tramite questo modulo. Se sei già registrato e connesso al sito, puoi inserire il tuo commento. Tenete a mente quanto letto nel regolamento, rispettando la "vita tranquilla".