Chiamati a controllare e monitorare processi fisici, quali la trasmissione di elettricità, il trasporto di gas e petrolio nei condotti, la distribuzione dell’acqua, la regolamentazione del traffico e altri sistemi alla base del buon funzionamento di ogni moderna società, i sistemi di controllo industriale, o ICS, sono sempre più oggetto di attacchi mirati da parte degli hacker.
L’inevitabile convergenza fra Operational technology e Information technology porta, infatti, con sé una serie di vantaggi, in termini di connettività di rete e di risparmi derivanti dall’uso di hardware e software “off the shelf”, ma anche lo svantaggio di una maggiore vulnerabilità.
La portata del rischio è ingente
A sottolinearlo ci pensa Ruchna Nigam, Security researcher, Fortinet FortiGuard Labs, evidenziando come l’impatto di una violazione di sicurezza sui sistemi di controllo industriale risulti potenzialmente devastante per l’integrità di infrastrutture critiche, quando non anche di vite umane.
Basti pensare all’attacco hacker che lo scorso 23 dicembre ha coinvolto 57 sottostazioni elettriche causando un blackout in diverse regioni dell’Ucraina Occidentale inizialmente attribuito a una “interferenza” nel sistema di monitoraggio di una delle aziende elettriche coinvolte.
Nel medesimo periodo, due rapporti relativi ad attacchi ICS avvenuti negli Stati Uniti ne hanno rivelato la natura in qualità di attacchi di ricognizione, cioè effettuati con l’intento di carpire informazioni piuttosto che di causare danni.
Il primo rapporto, riporta ancora Nigam, ha confermato un attacco alla diga di Bowman Avenue a New York risalente al 2013, ufficialmente attribuito ad hacker iraniani e sferrato per raccogliere informazioni ed effettuare ricerche sulle macchine infette, probabilmente per effettuare ricognizioni mirate.
Analogamente, l’analisi di un computer appartenente a un appaltatore di Calpine, il più grande generatore di elettricità da gas naturale e risorse geotermiche in America, ne ha rivelato la compromissione. Le informazioni rubate, tra cui nomi utente e password per connettersi in remoto alle reti di Calpine, sono state trovate su uno dei server FTP degli hacker insieme alle immagini di progetti delle reti e di 71 centrali elettriche posizionate negli Stati Uniti.
D’altra parte, fa notare ancora la Security researcher dei FortiGuard Labs, sistemi SCADA compromessi e pronti all’uso sono stati trovati su forum underground, completi di screenshot dei sistemi violati e di indirizzi Ip con tanto di password VNC, mentre secondo i dati rilasciati dall’ICS-CERT, ossia l’Industrial Control Systems Cyber Emergency Response Team statunitense, ammontano a 295 i casi di violazioni segnalati nel 2015. Di questi, il 97,3% era diretto a industrie manifatturiere strategiche, seguite a notevole distanza (46,1%) dal settore energetico.
Dove applicazioni e protocolli sono proprietari
Come sottolineato da Nigam, oltre ad affrontare attacchi a sistemi ICS sempre più sofisticati, le organizzazioni si trovano di fronte a sistemi specifici per il settore, regolamenti e pratiche industriali che ne ostacolano la messa in sicurezza. La maggior parte dei sistemi di controllo industriali sono, infatti, forniti da vendor molto differenti fra loro e funzionano con sistemi operativi, applicazioni e protocolli proprietari. Di conseguenza, è l’ulteriore puntualizzazione, “un sistema di sicurezza basato su host e sviluppato per l’It non sarà normalmente disponibile per l’ICS, e molti controlli di sicurezza sviluppati per le più comuni applicazioni e protocolli di impresa non possono dare molto supporto a quelli utilizzati dall’ICS”.
Un aiuto in tal senso potrebbe venire dalla definizione di standard comuni quali l’ISA/IEC-62443 che, creato dalla International Society for Automation, come il precedente ISA-99, e in seguito ridefinito 62443 per allinearsi alla nomenclatura della International Electro-Technical Commission, delinea linee guida complete per la progettazione, pianificazione, integrazione e gestione di sistemi ICS sicuri.
Le regole per proteggersi
Da qui tre semplici raccomandazioni a cura della Security researcher di Fortinet secondo cui, occorre, in primis, porre attenzione alle mail di phishing, rilevate in tutti gli attacchi ai sistemi ICS.
Per citare un caso specifico, all’ICS-CERT è stato, infatti, segnalato un attacco di spear-phishing che partiva da un account di social media sotto forma di candidatura professionale. Utilizzando questo account, afferma Nigam, gli hacker sono stati in grado di raccogliere, direttamente dai dipendenti, informazioni quali il nome dell’It manager dell’azienda e le versioni in uso dei software aziendali. In seguito, ai dipendenti è stata inviata una mail con il “curriculum” del presunto candidato, allegato come “resume.rar”. L’allegato conteneva un malware in grado di infettare il sistema degli utenti ma anche di evitare di diffondersi o impattare sui sistemi di controllo.
In tal senso, anche i log sono un ottimo modo per monitorare le attività nei sistemi e sono di aiuto nel ricomporre i frammenti, in caso di incidente. In diversi casi risultano, inoltre, rilevatori precoci di infezioni, tanto che la manutenzione dei log è altamente consigliata agli amministratori di sistema ICS, mentre una scansione regolare della rete è un’altra best practice di sicurezza che serve a rilevare tempestivamente eventuali infezioni.
