NEWS

Frontiere del cyber-crimine: il malware Industroyer colpisce le reti elettriche


MARTEDÌ 13 GIUGNO 2017 - 13:30


E' stato individuato recentemente un nuovo tipo di malware, progettato appositamente per colpire le reti elettriche e che è già stato usato per un attacco reale in Ucraina. L'attacco ha avuto luogo nel Dicembre 2016 e ha causato l'interruzione della fornitura elettrica in una vasta zona di Kiev, la capitale ucraina.

La versione individuata nel Dicembre 2016 pare creata da zero: non condivide il codice con nessun altro malware fin ora conosciuto, tanto meno con  BlackEnergy, altro malware già impiegato (sempre in Ucraina) contro le reti elettriche locali. Industroyer è progettato per mirare solo a uno specifico set di apparecchiature industriali in uso alle società di distribuzione di energia elettrica, quali gli interruttori di sottostazione e gli interruttori automatici. 

Il malware però non infetta direttamente questi dispositivi, ma colpisce i computer che seguono i software di controllo ICS/SCADA. E' progettato per inviare comandi a interruttori e switch : ciò consente al malware di modificare le impostazioni o di spegnere le apparecchiature, causare interruzioni della rete, malfunzionamenti a cascata e danni fisici alle apparecchiature stesse. Teniamo però di conto che, data la centralità per una miriade di altri settori, dell'alimentazione elettrica, i danni prodotti da Industroyer vanno ben oltre la mera società di produzione elettrica locale. 

Qualche dato più tecnico
A Livello tecnico questo malware è nei fatti una cyber-arma ben progettata. E' un malware modulare la cui componente essenziale è una backdoor usata dagli attaccanti per gestire gli attacchi: installa e controlla le altre componenti e si connette al server remoto per ricevere comandi e inviare report agli attaccanti. Cosa rende Industroyer  diverso dagli altri malware di questo tipo? L'uso di 4 componenti payload, progettati per ottenere il controllo diretto di switch e interruttori di una sottostazione di distribuzione elettrica. (vedi la foto sotto: fonte Bleepingcomputer) 

Oltre a questo Industroyer "porta con sé" una backdoor secondaria nel caso la prima venga individuata e rimossa, un "port scan" per cercare dispositivi connessi alle reti locali e un modulo per la cancellazione dei dati, che elimina il malware e rende inoperativo il sistema operativo del computer bersaglio. Il tutto chiaramente finalizzato a ritardare il ripristino della rete. 

Qualche dato sui malware industriali
Gli esperti dell'azienda di sicurezza IT Dragos, nell'ambito di varie ricerche, hanno scoperto che la maggior parte dei sistemi industriali viene colpito da malware accidentalmente, di solito worm, trojan e ransomware. Ma, nella quasi totalità dei casi, infettano i computer che controllano i sistemi ICS/SCADA e non l'apparecchiatura di per sé. 

Una consapevolezza importante: attualmente ci sono circa 100.000 differenti tipi di sistemi di controllo industriali connessi in Internet. E, come ogni sistema connesso a Internet, sono vulnerabili ad attacchi. 

Le ultime news

Chi siamo

Risorse

Supporto

Area informativa

 





Distributore ufficiale per l'Italia
S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482




© 2015     |     Privacy Policy     |     Cookie Policy     |     Login