OT: Gli attacchi più famosi ai sistemi industriali

1.  Introduzione

Nel nostro articolo Cyber Security e impianti industriali abbiamo visto come gli Industrial Control System (ICS) sono una parte integrante delle moderne Infrastrutture Critiche (IC) in quanto sovrintendono a tutte le operazioni connesse con la gestione e il controllo di settori vitali come quello elettrico, petrolchimico, energetico, ecc. Tuttavia, tali sistemi espongono le IC alla minaccia cyber, e i recenti attacchi informatici hanno dimostrato che è possibile, attraverso delle manipolazioni malevoli dei processi produttivi, provocare danni dalle conseguenze potenzialmente catastrofiche.

Nel nostro articolo Industrial Control Systems e Infrastrutture critiche abbiamo visto come le società moderne dipendono in modo sempre più radicale dai dispositivi di controllo industriale. Tra i clienti dei principali fornitori di soluzioni OT figurano soggetti che operano in campi quali il settore energetico, delle comunicazioni e dei trasporti. Tali campi sono considerati dalla maggior parte degli stati come settori critici, e i soggetti che vi operano sono identificati come infrastrutture critiche (IC)

Nel nostro articolo Sicurezza negli ambienti OT abbiamo visto come uno studio condotto alcuni anni fa da una società specializzata negli USA ha evidenziato che il tempo medio per l’applicazione di una patch di sicurezza era di 350 giorni con alcuni episodi nei quali l’istallazione era stata effettuata solo 3 anni dopo il rilascio della patch.

In Industrial Control Systems: Una crescente superficie di attacco abbiamo visto come in un contesto di vulnerabilità intrinseche, l’unica barriera che ha garantito per un lungo periodo di tempo un livello accettabile di protezione degli Industrial Control System era costituita dalla così detta security through obscurity. Oggi, i cyber criminali possono soddisfare in buona parte le loro esigenze di raccolta di informazioni e documentazione impiegando strumenti di intelligence open source (OSINT).

Nel nostro articolo Industrial Control Systems: Evoluzione della minaccia abbiamo visto che gli sviluppi del mondo delle OT hanno portato a una trasformazione effettiva del panorama delle minacce cyber.

Ci occupiamo questa volta degli attacchi più famosi ai sistemi industriali.

2.  Gli attacchi più famosi ai sistemi industriali

2.1.  Aurora (2009)

L’Operazione Aurora è stato un attacco cibernetico cominciato a metà del 2009 e terminato nel dicembre dello stesso anno. La notizia dell’attacco è stata resa pubblica da Google il 12 gennaio 2010 in un blog. Nel post Google dichiarò che l’attacco avrebbe avuto origine in Cina.

In seguito, l’attacco è stato lanciato verso moltissime altre aziende, tra cui Adobe, Juniper Networks e Rackspace, che hanno confermato pubblicamente di essere state prese di mira. Secondo alcuni media anche Yahoo!, Symantec, Northrop Grumman, Morgan Stanley e Dow Chemical sono state tra gli obiettivi dell’attacco.

L’attacco è stato chiamato Operazione Aurora da Dmitri Alperovitch, vicepresidente della sezione Ricerca sulle minacce di McAfee. La ricerca ai laboratori McAfee ha scoperto che la parola “Aurora” faceva parte del percorso, nel computer di chi ha compiuto l’attacco, incluso in due dei file binari malware che McAfee sostiene che siano associati con l’attacco stesso. «Crediamo che questo sia il nome che chi ha compiuto l’attacco ha dato a questa operazione.» ha scritto in un blog George Kurtz, chief technology officer di McAfee.

Sempre secondo McAfee, l’obiettivo principale dell’attacco era di ottenere l’accesso e potenzialmente di modificare i repository dei codici sorgente delle compagnie che ha preso di mira, che sono tra le più importanti negli USA nei settori di difesa, sicurezza ed alta tecnologia.

L’operazione Aurora era solo una simulazione e fu considerato con scetticismo in quanto gli hacker avevano una conoscenza estensiva dell’impianto che gli ha concesso di eseguire una manipolazione mirata del processo, mentre, in uno scenario realistico, si riteneva improbabile che un avversario disponesse di informazioni tanto precise e dettagliate.

2.2.  Stuxnet (2010)

Successivamente ad Aurora, l’apparizione del worm Stuxnet nel 2010 ha cambiato radicalmente non solo lo scenario, ma anche la percezione della minaccia cyber (Langner, 2011; 2013). Questo worm era specificatamente progettato per attaccare i PLC Siemens in uso in uno stabilimento nucleare nel Natanz, una regione dell’Iran. Nello specifico, Stuxnet era programmato per alterare la velocità di rotazione di alcuni motori facendoli girare in modo anomalo[1].

L’attacco provocò la deteriorazione di circa 1,000 turbine che di conseguenza rallentò significativamente il programma nucleare iraniano[2].

Stuxnet non è stato un caso isolato, ma ha segnato il punto di inizio di una serie di operazione cyber volte a compromettere la sicurezza fisica dei processi industriali fra i quali è importante ricordare: Irongate (2014), Black Energy 3 (2015), Crashoverride (2016) e Trisis/Triton (2017).

2.3.  Irongate (2014)

L’attacco Irongate del 2014 prese di mira un’acciaieria tedesca. I malintenzionati ottennero l’accesso alla rete degli impianti e, impedendo il corretto spegnimento di una fornace, furono in grado di causare “danni fisici enormi” a vari componenti critici del sistema, comportando la sospensione della produzione e costi significativi per ripristinare l’operabilità[3].

2.4.  BlackEnergy (2015)

In Ucraina invece, due attacchi informatici importanti hanno preso di mira il settore energetico. BlackEnergy 3 è il primo attacco cyber conosciuto che è stato in grado di interferire con le operazioni di un operatore elettrico provocando un blackout il 23 dicembre del 2015 che è durato per 6 ore tenendo al buio circa 225,000 utenti nella regione. Il malware, dopo aver imparato il corretto funzionamento del sistema sfruttando le informazioni visualizzate tramite la HMI (Human Machine Interface), è stato capace di inviare comandi “leciti” con l’obiettivo di disconnettere alcune sottostazioni dalla rete elettrica e successivamente rendere non operativo l’apparato di telecontrollo cancellando alcuni file di sistema[4].

2.5.  CrashOverride (2016)

A distanza di un anno, nel dicembre 2016, un secondo blackout ha colpito l’Ucraina, e in questo caso il gestore elettrico ha esplicitamente dichiarato che la causa è da ricercare in interferenze illecite nella rete di controllo industriale derivanti dall’esterno, ovvero in un attacco cyber condotto tramite il malware CrashOverride. Attraverso il malware, anche conosciuto come Industroyer, gli attaccanti hanno potuto prendere il controllo degli interruttori di alcune sottostazioni, che sono poi stati aperti provocando una perdita di energia di circa un’ora in vari sobborghi di Kiev[5].

Una peculiarità interessante di questi due attacchi è che i malware hanno funto da mero vettore per accedere e prendere controllo dei dispositivi di gestione delle operazioni, e soltanto la malevola interazione degli attaccanti con il sistema ha provocato i due blackout[6].

Questo indica che il focus principale dell’operazione non è tanto nella payload dei due malware, ma piuttosto nella conoscenza degli attaccanti e nella loro capacità di sfruttare il processo per portarlo in una condizione di malfunzionamento. Il che implica che questo tipo di attacchi non sono limitati a un particolare vendor o impianto ma possono essere riproposti altrove[7]. Per esempio, il CERT USA ha evidenziato che malware come BlackEnergy 3 e Crashoverride sono stati rinvenuti in diversi sistemi di controllo di utility americane[8] e che in alcuni casi sono rimasti latenti nei sistemi anche per più di cinque anni[9].

2.6.  Trisis (2017)

Infine, l’ultimo attacco OT in ordine cronologico è il malware scoperto nel dicembre 2017 in un impianto petrolchimico in Medio Oriente, e conosciuto con il nome di Trisis o Triton. La particolarità di questo malware è che il suo target sono i sistemi SIS (Safety Instrumental System) ovvero quella porzione dei sistemi ICS, generalmente separata dai normali sistemi di gestione di processo, che sono utilizzati per prevenire eventi catastrofici[10]. I SIS supervisionano le operazioni critiche assicurando che il processo industriale mantenga un livello minimo di sicurezza. Se la soglia necessaria non viene soddisfatta, i controllori SIS entrano in modalità safe-failed interrompendo le operazioni produttive[11]. In questo caso, gli aggressori sono riusciti a penetrare il dispositivo SIS e nel tentativo di riprogrammare il controller hanno involontariamente attivato lo stato di errore provocando l’arresto del processo industriale.

Prendere di mira i SIS è strategicamente rilevante in relazione a due scenari plausibili.

Una prima strategia, classificabile come fake attack, consiste nel riprogrammare il SIS affinché il sistema rilevi dei falsi positivi. In altre parole, parametri o situazioni del tutto normali vengono segnalate come anomale e potenzialmente pericolose inducendo il sistema ad adottare misure di recovery, se non addirittura lo shutdown del processo.

Una seconda tipologia di attacco, decisamente più critica e perniciosa, implica la riprogrammazione dei dispositivi SIS affinché il sistema non sia più in grado di rilevare situazioni di emergenza, e dunque di intraprendere le necessarie azioni di “protezione” per riportare i processi in configurazione di sicurezza. In tale scenario il processo produttivo perde la capacità di prevenire l’insorgenza di situazioni pericolose per cui un ulteriore evento anomalo, sia esso accidentale o indotto dall’attaccante, può degenerare in un incidente con impatti significativi in termini di danni fisici e ambientali[12].

3.  Conclusioni

L’impatto di questi attacchi, pur rimanendo limitato e ben al di sotto della soglia di un “cyber-Pearl Harbour”, ha dimostrato che operazioni cibernetiche con conseguenze cinetiche non sono più una mera speculazione teorica o l’oggetto di esperimenti militare ma, al contrario, gli strumenti offensivi di questo genere sono diventati “possibili, accessibili, incisivi e capaci di interrompere il corretto funzionamento delle società sviluppate”[13]. Non è un caso che anche il Global Risks Report del 2019 enfatizza il rischio cyber come una minaccia con un impatto potenziale non lontano da quello di calamità e disastri naturali maggiori. È tuttavia da considerare che gli attacchi informatici, a differenza delle catastrofi ambientali, sono minacce artificiali di cui la mano umana è la prima responsabile e, in quanto tali, sono più facilmente difendibili e mitigabili.

Bibliografia

• http://www.mix-it.net
• https://www.rt.com/news/snowden-nsa-interview-surveillance-831/
• http://www.giorgiosbaraglia.it/la-guerra-cibernetica-caso-piu-famoso/
• https://www.nerc.com/pa/CI/ESISAC/Documents/E-ISAC_SANS_Ukraine_DUC_18Mar2016.pdf
• https://nulltx.com/ukraines-power-grid-hacked-twice-in-one-year/
• https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
• https://dragos.com/blog/trisis/TRISIS-01.pdf
• Cybersecurity kit di sopravvivenza. Il web è un luogo pericoloso. Dobbiamo difenderci!, Giorgio Sbaraglia
• Albright, D., Brannan, P., & Walrond, C. (2011). Stuxnet malware and natanz: Update of isis december 22, 2010 report. Institute for Science and International Security, 15, 739883-3
• ARIA – Analysis, Research and Information on Accidents database (2015). Ministry of Environment / General Directorate for Risk Prevention, the BARPI (Bureau forAnalysis of Industrial Risks and Pollutions). At: https://www.aria.developpement-durable.gouv.fr/the-barpi/the-aria-database/?lang=en
• Assante, M. (2018). Triton/TriSIS – In Search of its Twin. SANS Industrial Control Systems. 29 January. Available at: https://ics.sans.org/blog/2018/01/29/tritontrisis-in-search-of-its-twin
• Assante, M. J., & Lee, R. M. (2015). The industrial control system cyber kill chain. SANS Institute InfoSec Reading Room, 1
• Bodenheim, R. C. (2014). Impact of the Shodan computer search engine on internet-facing industrial control system devices (No. AFIT-ENG-14-M-14). AIR FORCE INSTITUTE OF TECHNOLOGY WRIGHT-PATTERSON AFB OH GRADUATE SCHOOL OF ENGINEERING AND MANAGEMENT
• [6] Bodenheim, R., Butts, J., Dunlap, S., & Mullins, B. (2014). Evaluation of the ability of the Shodan search engine to identify Internet-facing industrial control devices. International Journal of Critical Infrastructure Protection, 7(2), 114-123
• Brunner, E.M. & Suter, M. (2009). International CIIP Handbook 2008/2009, CRN handbooks, 4(1)
• Bumiller, E. and Shanker, T. (2012). Panetta Warns of Dire Threat of Cyberattack on U.S, The New York Times, 11 October 2012 available at: http://www.nytimes.com/2012/10/12/world/panetta-warns-of-dire-threat-of-cyberattack.html
• Byres, E., & Lowe, J. (2004, October). The myths and facts behind cyber security risks for industrial control systems. In Proceedings of the VDE Kongress (Vol. 116, pp. 213-218)
• Byres, E., Eng, P., & Fellow, I. S. A. (2012). Using ANSI/ISA-99 standards to improve control system security. White paper, Tofino Security
• Cárdenas, A. A., Amin, S., & Sastry, S. (2008). Research Challenges for the Security of Control Systems. In HotSec
• Cherepanov, A. (2017). WIN32/INDUSTROYER, A new threat for industrial control systems. White paper, ESET (June 2017)
• Conway, T., Lee, R. M., & Assante, M. J. (2016). Analysis of the Cyber Attack on the Ukrainian Power Grid. Electricity Information Sharing and Analysis Center. Available at: https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf
• Cook, A., Janicke, H., Smith, R., & Maglaras, L. (2017). The industrial control system cyber defence triage process. Computers & Security, 70, 467-481
• Craig, A. J., & Valeriano, B. (2018) Realism and Cyber Conflict: Security in the Digital Age. Realism in Practice, 85
• DHS (2016). Recommended Practice: Improving Industrial Control System Cybersecurity with Defense-in-Depth Strategies. Industrial Control Systems Cyber Emergency Response Team. https://ics-cert.us-cert.gov/sites/default/files/recommended_practices/NCCIC_ICS-CERT_Defense_in_Depth_2016_S508C.pdf [20/05/2019]
• Drias, Z., Serhrouchni, A., & Vogel, O. (2015). Analysis of cyber security for industrial control systems. In Cyber Security of Smart Cities, Industrial Control System and Communications (SSIC), 2015 International Conference on (pp. 1-8). IEEE
• E-ISAC (2016). Analysis of the cyber attack on the Ukrainian power grid. Electricity Information Sharing and Analysis Center (E-ISAC).
• ESET, (2017). ESET discovers dangerous malware designed to disrupt industrial control systems. ESET – Enjoy Safer Technology. 12 June, Available at: https://www.eset.com/us/about/newsroom/press-releases/eset-discovers-dangerous-malware-designed-to-disrupt-industrial-control-systems/
• European Commission (2005). Green Paper on a European programme for critical infrastructure protection, Com. 576 final. Available at: https://eur-lex.europa.eu/legal-content/EN-FR/TXT/?uri=CELEX:52005DC0576&from=BG
• Galloway, B., & Hancke, G. P. (2013). Introduction to industrial control networks. IEEE Communications surveys & tutorials, 15(2), 860-880.
• Higgins, K. J., & Jan, D. (2013). The SCADA patch problem. Information Week. Available at: https://www.darkreading.com/vulnerabilities—threats/the-scada-patch-problem/d/d-id/1138979
• Higgins, K.J. (2018). FireEye Finds New Clue in TRITON/TRISIS Attack. Dark Reading, 6 August. Available at: https://www.darkreading.com/operations/fireeye-finds-new-clues-in-triton-trisis-attack/d/d-id/1332008
• Iversen, W. (2004). Hackers Step Up SCADA Attacks. AutomationWorld. 12 october. Available: https://www.automationworld.com/article/technologies/networking-connectivity/switches-gateways-routers-modems/hackers-step-scada
• Johnson, B., Caban, D., Krotofil, M., Scali, D., Brubaker, N., Glyer, C., (2017). Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure. FireEye. 14 December. Available at: https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
• Kaspersky lab ICS-CERT, (2017). Threat Landscape for Industrial Automation Systems In The Second Half Of 2016, Kaspersky Lab. Available: https://ics-cert.kaspersky.com/reports/2017/03/28/threat-landscape-for-industrial-automation-systems-in-the-second-half-of-2016/
• Langner, R. (2011). Stuxnet: Dissecting a cyberwarfare weapon. IEEE Security & Privacy, 9(3), 49-51.
• Langner, R. (2013). To kill a centrifuge: A technical analysis of what stuxnet’s creators tried to achieve. The Langner Group
• Larson, S. (2018). Threats to Electric Grid are Real; Widespread Blackouts are Not. Dragos, 6 August. Available at: https://dragos.com/blog/20180806ElectricGridThreats.html
• Lee, R. (2017 a). CRASHOVERRIDE: Analysis of the threat to electric grid operations. Dragos Inc., March
• Lee, R. (2017 b). TRISIS Malware: Analysis of Safety System Targeted Malware. Dragos Inc. available at: https://dragos.com/blog/trisis/
• Lee, R. M., Assante, M. J., & Conway, T. (2014). German steel mill cyber-attack. Industrial Control Systems, 30, 62
• Liff, A. P. (2012). Cyberwar: a new ‘absolute weapon’? The proliferation of cyberwarfare capabilities and interstate war. Journal of Strategic Studies, 35(3), 401-428
• Lindsay, J. R. (2013). Stuxnet and the limits of cyber warfare. Security Studies, 22(3), 365-404
• Maurer, T. (2018). Cyber Mercenaries. Cambridge University Press
• McAfee, (2009). In the Crossfire: Critical Infrastructure in the Age of Cyber War. McAfee report. Available at: https://img.en25.com/Web/McAfee/CIP_report_final_uk_fnl_lores.pdf
• McLaughlin, S., Konstantinou, C., Wang, X., Davi, L., Sadeghi, A. R., Maniatakos, M., & Karri, R. (2016). The cybersecurity landscape in industrial control systems. Proceedings of the IEEE, 104(5), 1039-1057
• Moreno, V. C., Reniers, G., Salzano, E., & Cozzani, V. (2018). Analysis of physical and cyber security-related events in the chemical and process industry. Process Safety and Environmental Protection, 116, 621-631
• Napolitano, J. (2009) A New Challenge for Our Age: Securing America Against the Threat of Cyber Attack. Department of Homeland security. 20 October. Available: https://www.dhs.gov/news/2009/10/20/secretary%E2%80%99s-web-address-cybersecurity
• NATO (2019). NATO’s role in cyberspace. NATO Review Magazine, 2019. Available: https://www.nato.int/docu/review/2019/Also-in-2019/natos-role-in-cyberspace-alliance-defence/EN/index.htm
• Nicholson, A., Webber, S., Dyer, S., Patel, T., & Janicke, H. (2012). SCADA security in the light of Cyber-Warfare. Computers & Security, 31(4), 418-436
• NIST (2011). Managing Information Security Risk: Organization, Mission, and Information System View (No. Special Publication (NIST SP)-800-39)
• Rid, T., & McBurney, P. (2012). Cyber-weapons. the RUSI Journal, 157(1), 6-13
• Sadeghi, A. R., Wachsmann, C., & Waidner, M. (2015, June). Security and privacy challenges in industrial internet of things. In Design Automation Conference (DAC), 2015 52nd ACM/EDAC/IEEE (pp. 1-6). IEEE
• Setola, R. (2011), La strategia globale di protezione delle infrastrutture e risorse critiche contro gli attacchi terroristici, Centro Militare di Studi Strategici CEMISS, At: http://www.difesa.it/SMD_/CASD/IM/CeMiSS/Pubblicazioni/ricerche/Pagine/Lastrategiaglobalediprotezione.aspx
• Setola R., Faramondi L., Salzano E., & Cozzani, V.(2019). An overview of Cyber Attack to Industrial Control System. Chemical Engineering Transactions vol.75,2019
• Slay, J., & Miller, M. (2007, March). Lessons learned from the maroochy water breach. In International Conference on Critical Infrastructure Protection (pp. 73-82). Springer, Boston, MA
• Stouffer, K., Lightman, S., Pillitteri, V., Abrams, M., & Hahn, A. (2015). Guide to Industrial Control Systems (ICS) Security, NIST special publication 800-82, National Institute of Standards and Technology
• Symantec (2011). Symantec. “SCADA (Supervisory Control and Data Acquisition) security threat landscape”. Available at: https://www.symantec.com/security-center/threat-report
• Tabansky, L. (2011). Critical Infrastructure Protection against cyber threats. Military and Strategic Affairs, 3(2) 61-68
• World Economic Forum (2018), The Global Risks Report 2018, https://www.weforum.org/reports/the-global-risks-report-2018
• World Economic Forum (2019). Global Risks Report 2019. http://www3.weforum.org/docs/WEF_Global_Risks_Report_2019.pdf
• Peculiarities and challenges of cyber security for the Industrial Control Systems, Giacomo Assenza, Luca Faramondi, Roberto Setola

Note

[1] Albright, Brannan, Walrond, 2011, Langner, 2011; 2013

[2] Lindsay, 2013

[3] Lee & Al., 2014

[4] Lee, 2017a; E-ISAC, 2016

[5] Lee, 2017a ESET, 2017

[6] Conway & Al., 2016; Lee, 2017a; Cherepanov, 2017

[7] Lee, 2017a

[8] Larson, 2018

[9] Setola & Al., 2019

[10] Lee, 2017b; Johnson & Al., 2017

[11] Higgins, 2018

[12] Johnson & Al., 2017; Assante, 2018

[13] Tabansky, 2011