In evidenza
Sezioni
Magazine
Annunci
Quotidiani GNN
Comuni
      1. Aiello del Friuli
      2. Amaro
      3. Ampezzo
      4. Andreis
      5. Aquileia
      6. Arba
      7. Arta Terme
      8. Artegna
      9. Arzene
      10. Attimis
      11. Aviano
      12. Azzano Decimo
      1. Bagnaria d'Arsa
      2. Barcis
      3. Basiliano
      4. Bertiolo
      5. Bicinicco
      6. Bordano
      7. Brugnera
      8. Budoia
      9. Buia
      10. Buttrio
      1. Camino al Tagliamento
      2. Campoformido
      3. Campolongo al Torre
      4. Caneva
      5. Carlino
      6. Casarsa della Delizia
      7. Cassacco
      8. Castelnovo del Friuli
      9. Castions di Strada
      10. Cavasso Nuovo
      11. Cavazzo Carnico
      12. Cercivento
      13. Cervignano del Friuli
      14. Chions
      15. Chiopris-Viscone
      16. Chiusaforte
      17. Cimolais
      18. Cividale del Friuli
      19. Claut
      20. Clauzetto
      21. Codroipo
      22. Colloredo di Monte Albano
      23. Comeglians
      24. Cordenons
      25. Cordovado
      26. Corno di Rosazzo
      27. Coseano
      1. Dignano
      2. Dogna
      3. Drenchia
      4. Enemonzo
      5. Erto e Casso
      1. Faedis
      2. Fagagna
      3. Fanna
      4. Fiume Veneto
      5. Fiumicello
      6. Flaibano
      7. Fontanafredda
      8. Forgaria nel Friuli
      9. Forni Avoltri
      10. Forni di Sopra
      11. Forni di Sotto
      12. Frisanco
      1. Gemona del Friuli
      2. Gonars
      3. Grimacco
      1. Latisana
      2. Lauco
      3. Lestizza
      4. Lignano Sabbiadoro
      5. Ligosullo
      6. Lusevera
      1. Magnano in Riviera
      2. Majano
      3. Malborghetto Valbruna
      4. Maniago
      5. Manzano
      6. Marano Lagunare
      7. Martignacco
      8. Meduno
      9. Mereto di Tomba
      10. Moggio Udinese
      11. Moimacco
      12. Montenars
      13. Montereale Valcellina
      14. Morsano al Tagliamento
      15. Mortegliano
      16. Moruzzo
      17. Muzzana del Turgnano
      1. Nimis
      1. Osoppo
      2. Ovaro
      1. Pagnacco
      2. Palazzolo dello Stella
      3. Palmanova
      4. Paluzza
      5. Pasian di Prato
      6. Pasiano di Pordenone
      7. Paularo
      8. Pavia di Udine
      9. Pinzano al Tagliamento
      10. Pocenia
      11. Polcenigo
      12. Pontebba
      13. Porcia
      14. Pordenone
      15. Porpetto
      16. Povoletto
      17. Pozzuolo del Friuli
      18. Pradamano
      19. Prata di Pordenone
      20. Prato Carnico
      21. Pravisdomini
      22. Precenicco
      23. Premariacco
      24. Preone
      25. Prepotto
      26. Pulfero
      1. Ragogna
      2. Ravascletto
      3. Raveo
      4. Reana del Rojale
      5. Remanzacco
      6. Resia
      7. Resiutta
      8. Rigolato
      9. Rive d'Arcano
      10. Rivignano
      11. Ronchis
      12. Roveredo in Piano
      13. Ruda
      1. Sacile
      2. San Daniele del Friuli
      3. San Giorgio della Richinvelda
      4. San Giorgio di Nogaro
      5. San Giovanni al Natisone
      6. San Leonardo
      7. San Martino al Tagliamento
      8. San Pietro al Natisone
      9. San Quirino
      10. San Vito al Tagliamento
      11. San Vito al Torre
      12. San Vito di Fagagna
      13. Santa Maria La Longa
      14. Sauris
      15. Savogna
      16. Sedegliano
      17. Sequals
      18. Sesto al Reghena
      19. Socchieve
      20. Spilimbergo
      21. Stregna
      22. Sutrio
      1. Taipana
      2. Talmassons
      3. Tapogliano
      4. Tarcento
      5. Tarvisio
      6. Tavagnacco
      7. Teor
      8. Terzo d'Aquileia
      9. Tolmezzo
      10. Torreano
      11. Torviscosa
      12. Tramonti di Sopra
      13. Tramonti di Sotto
      14. Trasaghis
      15. Travesio
      16. Treppo Carnico
      17. Treppo Grande
      18. Tricesimo
      19. Trivignano Udinese
      1. Udine
      1. Vajont
      2. Valvasone
      3. Varmo
      4. Venzone
      5. Verzegnis
      6. Villa Santina
      7. Villa Vicentina
      8. Visco
      9. Vito d'Asio
      10. Vivaro
      1. Zoppola
      2. Zuglio
Sicuri nella Rete

Scoperto un malware che potrebbe far piombare nel buio le nostre città

di Pierluigi Paganini
Scoperto un malware che potrebbe far piombare nel buio le nostre città
CosmicEnergy colpisce i sistemi per il controllo dei processi industriali. Potrebbe avere conseguenze gravi, soprattutto se sovraintendono a processi in infrastrutture critiche come le reti elettriche. I rischi per l'Italia
3 minuti di lettura

I ricercatori dell'azienda di sicurezza Mandiant hanno scoperto un nuovo malware, identificato come CosmicEnergy, sviluppato per colpire i sistemi OT (Operational Technology) e sistemi per il controllo di processi industriali (ICS). 

Con il termine "tecnologia operativa" (OT, Operational Technology) si indicano i sistemi hardware e al software utilizzati per il controllo dei processi industriali.

Un malfunzionamento in questi sistemi potrebbe avere conseguenze gravi, soprattutto se sovraintendono a processi all'interno di infrastrutture critiche come le reti elettriche.

Secondo gli esperti di Mandiant, CosmicEnergy è stato per la prima volta caricato sul servizio online di scansione malware VirusTotal nel dicembre 2021 da un utente russo. La circostanza suggerisce che l'utente stesse testando la capacità del malware di eludere i principali sistemi antivirus utilizzati da VirusTotal.

Il malware è stato progettato interferire con i dispositivi che utilizzano il protocollo IEC 60870-5-104 (IEC-104), come terminali remoti (RTU), con l'intento di interrompere l'alimentazione elettrica.

I sistemi RTU sono molto diffusi in ambito industriale, soprattutto nel settore energetico dove sono comuni nei processi di trasmissione e distribuzione elettrica, in Europa, Medio Oriente e Asia.

Purtroppo, CosmicEnergy non rappresenta una novità nel panorama delle minacce, in passato altri malware sono stati sviluppati ed utilizzati per attaccare sistemi OT. Va detto tuttavia che questi malware, tra cui i codici noti come Industroyer e Industroyer2, sono stati concepiti in un contesto nation state, ovvero da gruppi che operavano operazioni di sabotaggio per conto di governi.

Secondo Mandiant, CosmicEnergy si distingue dagli OT malware scoperti in passato in quanto sembrerebbe essere stato sviluppato da un appaltatore di un'attività di Red Teaming del governo Russo. Il malware sarebbe stato sviluppato e impiegato in una esercitazione in cui si è simulato un attacco ai sistemi di alimentazione elettrica. Il malware è stato sviluppato dalla società di sicurezza informatica russa Rostelecom- Solar e le sue capacità sono simili a quelle dei malware Industroyer e Industroyer2 impiegati da gruppi russi per attaccare le reti elettriche in Ucraina dal 2015.

"Le capacità di CosmicEnergy e la strategia di attacco complessiva sembrano ricordare l'incidente Industroyer del 2016, che ha eseguito comandi ON/OFF IEC-104 per interagire con le RTU e, secondo un'analisi, potrebbe aver utilizzato un server MSSQL come sistema di trasmissione per accedere a sistemi OT." si legge nell'analisi pubblicata da Mandiant. "Sfruttando questo accesso, un utente malintenzionato remoto può inviare comandi per influenzare l'attivazione degli interruttori della linea elettrica e degli interruttori automatici per causare interruzioni di corrente".

Il malware CosmicEnergy è composto da due componenti principali identificate come Piehop e Lightwork.

Piehop è il componente per l'esecuzione dei comandi IEC-104 di "ON" o "OFF" sui sistemi remoti, mentre Lightworkè un tool che implementa il protocollo IEC-104 per modificare lo stato delle RTU. 

"La scoperta di CosmicEnergy dimostra che le barriere all'ingresso per lo sviluppo di capacità OT offensive si stanno abbassando man mano che gli attori sfruttano la conoscenza degli attacchi precedenti per sviluppare nuovo malware." Conclude Mandiant. "riteniamo che CosmicEnergy rappresenti una minaccia reale per le risorse utilizzate delle reti elettriche".

A questo punto è lecito chiedersi quanto sia vulnerabile il settore industriale nazionale e se questa tipologia di malware possa ben presto diventare uno strumento prezioso negli arsenali di gruppi criminali.

Per fare chiarezza sull'argomento ho intervistato un esperto di sicurezza specializzato nella protezione di sistemi OT, Alessio Rosas OT senior expert in Sicuranext.

Di seguito le sue risposte:

Quanto è complesso sviluppare malware come Cosmicenergy e perché? Siamo in grado oggi di neutralizzare minacce come questa e come?

Sicuramente un malware come quello CosmicEnergy è molto oneroso in termini di risorse e ricerca nello sviluppo e nel testing (non per caso si presuppone che derivi da uno strumento di red teaming utilizzato da una società russa). La complessità nasce dalla ricerca della modalità di automazione per sfruttare al meglio le vulnerabilità "by design" del protocollo industriale target e dei devices OT coinvolti nella Kill chain.

Queste minacce si possono bloccare con una combinazione di monitoraggio del traffico e Threat intelligence, sicuramente oltre che ricerca e sviluppo per ridurre al minimo i punti d'ingresso e di sfruttamento delle vulnerabilità negli assets OT.

Quale è a suo giudizio la situazione italiana e che danni potrebbero arrecare malware come Cosmicenergy? Quali sono i settori più esposti?

Attualmente in Italia si sta cercando di aumentare la consapevolezza della minaccia nell'ambito della sicurezza cyber industriale, ricordiamo che il tessuto economico italiano è composto principalmente da piccole e medie imprese ed è per questo molto critico; Le vulnerabilità e i punti di esposizione nella rete internet sono ancora molti ed in alcuni casi siamo in presenza di falle critiche, parlo per esempio della possibilità di prendere il controllo totale di PLC piuttosto che l'esposizione di sistemi SCADA o HMI, ma anche di server Historian, ScadaServer.

Un malware come quello in questione (che ricalca molto le orme della serie Industroyer) in caso di infezione, potrebbero causare danni seri specialmente ad aziende del settore energia o che comunque utilizzano il protocollo target (IEC-104).

Ad oggi malware come Cosmicenergy sono stati sviluppati esclusivamente da attori nation-state. Ritieni che gruppi dediti al crimine informatico possano iniziare a sviluppare ICS malware per attaccare i nostri sistemi?

Sicuramente sì, molti gruppi criminali, come per esempio le gang ransomware, da tempo si stanno dedicando allo studio dell'ambito ICS, con la creazione anche di prototipi, perché hanno compreso che è un settore che se colpito potrebbe portare dei lauti guadagni.

Sicuramente gli attori nation-state continueranno nello sviluppo di strumenti sofisticati che poi verranno utilizzati dai gruppi cui sopra citati per rimodellare l'attacco, prendendo di mira aziende anche di medie dimensioni.

Leggi anche

© Riproduzione riservata