Come funzionano gli attacchi informatici alle condutture e ad altri impianti industriali?

Non è una novità che molte grandi istituzioni tecnologiche abbiano subito un attacco informatico dopo l'altro. Ma un attacco informatico contro le tecnologie operative di impianti industriali come oleodotti e centrali elettriche?

È audace e umiliante. E non è uno scherzo quando colpisce. Tali attacchi, se hanno successo, bloccano le operazioni industriali e influiscono negativamente sulle persone che dipendono dall'industria vittimizzata. Peggio ancora, potrebbe paralizzare una nazione economicamente.

Ma come funzionano gli attacchi informatici alle condutture e ad altre installazioni industriali? Scendiamo.

Perché gli attacchi informatici si verificano negli impianti industriali

Per la maggior parte di noi, non ha senso come e perché qualcuno dovrebbe avere la possibilità di lanciare un attacco informatico orchestrato digitalmente contro un impianto industriale azionato meccanicamente.

Bene, in realtà, ora vediamo intelligenza artificiale, apprendimento automatico e altre tecnologie digitali che prendono il controllo delle operazioni meccaniche e persino tecniche negli impianti industriali. Pertanto, i loro dati operativi, le informazioni logistiche e altro ancora sono ora su Internet e suscettibili di furto e attacco.

Ci sono molte ragioni per cui gli attacchi informatici stanno diventando sempre più dilaganti su installazioni industriali come condutture, centrali elettriche, stazioni di approvvigionamento idrico, industrie alimentari e simili.

Qualunque sia il motivo, probabilmente rientrerà in una delle seguenti categorie.

1. Motivi politici, economici e commerciali

Dal punto di vista aziendale, gli aggressori a volte violano un sistema industriale per ottenere informazioni su formulazioni chimiche, branding, dimensioni del mercato, piani tecnici e aziendali e così via. Questo potrebbe provenire da un'azienda concorrente o da quelle che intendono avviare.

Tuttavia, anche la politica gioca un ruolo. Gli attacchi informatici sponsorizzati dallo stato in genere intendono paralizzare l'infrastruttura economica di un altro paese per mostrare la forza e le capacità del proprio paese. Uno dei modi in cui riescono a raggiungere questo obiettivo è interrompere i processi nei settori che guidano l'economia di un paese vittima. E ci sono state segnalazioni di un paio di loro qua e là.

2. Motivi finanziari

Questo è uno dei motivi più comuni alla base degli attacchi informatici. Gli aggressori possono hackerare un sistema industriale per diversi motivi finanziari, che vanno dal recupero di informazioni sulla carta di credito al furto di informazioni finanziarie.

Di solito ottengono questo obiettivo tramite malware o trojan, quindi possono attingere al sistema senza essere rilevati. Una volta all'interno, possono sottrarre dati relativi ai processi tecnici. L'hacker può quindi offrire le informazioni che ha rubato sul mercato nero a chiunque sia interessato.

Un altro modo per fare soldi è attraverso l'iniezione di ransomware, in cui gli aggressori crittografano i dati del bersaglio e poi vendono la password per una cifra considerevole.

Imparentato: Che cos'è il ransomware e come rimuoverlo?

Esistono anche attacchi DDoS (Distributed Denial of Service), in cui diversi computer infetti accedono contemporaneamente al sito Web di un obiettivo, sovraccaricando quindi i loro sistemi. Ciò impedisce ai clienti di contattare la suddetta società fino a quando non interrompono l'attacco.

Come funzionano questi attacchi informatici? Esempi notevoli

Ora che hai visto le ragioni salienti dietro gli attacchi informatici agli impianti industriali. Diamo un'occhiata a come funziona da questi esempi notevoli.

1. L'oleodotto coloniale

La Colonial Pipeline sposta ogni giorno circa 3 milioni di barili di prodotti petroliferi negli Stati Uniti. È il più grande gasdotto di carburante negli Stati Uniti. Naturalmente, si potrebbe immaginare la difficoltà di hackerare un sistema così complesso.

Ma l'impensabile è accaduto. La notizia del suo hack ha fatto notizia per tutto maggio 2021, con il presidente Joe Biden che ha dichiarato lo stato di emergenza a causa della carenza di carburante per aerei e degli acquisti presi dal panico di benzina e olio da riscaldamento. Ciò è avvenuto dopo che il gasdotto ha interrotto tutte le operazioni a causa dell'attacco informatico.

In che modo gli hacker hanno paralizzato le operazioni della Colonial Pipeline? Tramite ransomware. Le speculazioni erano che gli aggressori erano rimasti all'interno della rete del gasdotto per settimane inosservati.

Dopo aver effettuato l'accesso alla rete della pipeline utilizzando la password trapelata e il nome utente di uno staff trovati sul file rete oscura, gli aggressori hanno iniettato software dannoso nel sistema IT della pipeline, crittografando la loro rete di fatturazione e tenendoli in ostaggio. Sono poi andati oltre per rubare circa 100 gigabyte di dati e hanno chiesto un riscatto pagato in Bitcoin in cambio della decrittazione.

In che modo il suddetto nome utente e password sono trapelati sul dark web? Nessuno era sicuro. Ma un possibile colpevole è il phishing, preso di mira contro il personale della Colonial Pipeline.

Imparentato: Chi c'era dietro l'attacco all'oleodotto coloniale?

Sebbene questo attacco non abbia influito sui sistemi meccanici azionati digitalmente, l'effetto del ransomware avrebbe potuto essere più devastante se Colonial Pipeline avesse rischiato ulteriori operazioni nonostante l'attacco informatico.

2. Sistema di approvvigionamento idrico di Oldsmar (Florida)

Nel caso del sistema di approvvigionamento idrico di Oldsmar, gli hacker hanno preso il controllo virtuale dell'infrastruttura di trattamento chimico tramite TeamViewer, un software di condivisione dello schermo utilizzato dal team tecnico.

Una volta dentro, l'aggressore è entrato direttamente nel sistema di controllo del trattamento della struttura e ha aumentato il livello di idrossido di sodio aggiunto all'acqua a un livello tossico, precisamente da 100 a 11.100 parti per milione (ppm).

Se il personale in servizio non avesse notato questo ridicolo aumento del livello di sostanze chimiche e l'avesse riportato alla normalità, gli hacker intendevano commettere omicidi di massa.

In che modo questi aggressori hanno ottenuto le credenziali di TeamViewer per accedere in remoto all'interfaccia uomo-macchina?

Devono aver sfruttato due vulnerabilità all'interno del sistema di controllo di Oldsmar. Innanzitutto, tutto il personale ha utilizzato lo stesso ID TeamViewer e la stessa password per accedere al sistema compromesso. In secondo luogo, il software del sistema era obsoleto poiché funzionava su Windows 7, che secondo Microsoft è più vulnerabile agli attacchi di malware a causa dell'interruzione del supporto.

Gli hacker devono essersi fatti strada con la forza bruta o annusare il sistema obsoleto usando malware.

3. Sottostazioni elettriche ucraine

Circa 225.000 persone sono state gettate nell'oscurità dopo che la rete elettrica ucraina ha subito un attacco informatico nel dicembre 2015. Questa volta, gli aggressori hanno utilizzato BlackEnergy, un versatile malware per il controllo del sistema, per raggiungere il loro obiettivo.

Ma come hanno fatto a trovare un modo per iniettare questo malware in un'installazione industriale così grande?

Gli hacker avevano in precedenza lanciato una massiccia campagna di phishing prima dell'attacco. L'e-mail di phishing ha indotto i dipendenti a fare clic su un collegamento che richiedeva loro di installare un plug-in dannoso mascherato da Macro.

Il suddetto plugin ha consentito al bot BlackEnergy di infettare il sistema della griglia con successo attraverso l'accesso backdoor. Gli hacker hanno quindi ottenuto le credenziali VPN che consentono al personale di controllare il sistema di rete da remoto.

Una volta all'interno, gli hacker si sono presi del tempo per monitorare i processi. E quando erano pronti, hanno disconnesso il personale da tutti i sistemi, hanno preso il controllo del processore SCADA (Supervisory Control and Data Acquisition). Hanno quindi disattivato l'alimentazione di backup, spento 30 sottostazioni elettriche e utilizzato attacchi Denial of Service per evitare segnalazioni di interruzioni.

4. L'attacco del Tritone

Triton è uno script di malware che prende di mira principalmente i sistemi di controllo industriale. La sua potenza si è fatta sentire quando, nel 2017, un gruppo di hacker lo ha iniettato in quella che gli esperti credevano essere una centrale petrolchimica in Arabia Saudita.

Questo attacco ha anche seguito lo schema del phishing e della probabile forzatura bruta delle password per ottenere l'accesso backdoor iniziale ai sistemi di controllo prima di iniettare il malware.

In seguito, gli hacker hanno ottenuto l'accesso di controllo remoto alla workstation del sistema strumentato di sicurezza (SIS) per impedire loro di segnalare correttamente i guasti.

Imparentato: Che cos'è un hack della catena di approvvigionamento e come puoi stare al sicuro?

Tuttavia, sembrava che gli aggressori stessero solo imparando come funziona il sistema prima di lanciare un attacco vero e proprio. Mentre gli hacker si spostavano e modificavano il sistema di controllo, l'intero impianto si è spento, grazie ad alcuni sistemi di sicurezza che hanno attivato un fail-safe.

5. L'attacco di Stuxnet

Stuxnet è un worm per computer destinato principalmente ai controllori logici programmabili (PLC) negli impianti nucleari. Il worm, sviluppato dal team congiunto statunitense e israeliano, viaggia tramite flash USB con un'affinità per il sistema operativo Windows.

Stuxnet funziona rilevando i sistemi di controllo e modificando i programmi esistenti per causare danni ai PLC. Nel 2010 è stata usata come arma informatica contro un impianto di arricchimento dell'uranio in Iran.

Dopo aver infettato oltre 200.000 computer all'interno della struttura, il worm ha riprogrammato le istruzioni di rotazione sulla centrifuga all'uranio. Ciò li ha fatti girare bruscamente e autodistruggersi nel processo.

6. Impianto di lavorazione della carne JBS

Poiché il profitto è imminente, gli hacker non esonereranno le industrie di trasformazione alimentare dalle loro spedizioni. Nel giugno 2021 motivi finanziari hanno spinto gli hacker a dirottare presso JBS, il più grande impianto di lavorazione della carne del mondo.

Di conseguenza, la società ha chiuso tutte le attività in Nord America e Australia. Ciò è accaduto poche settimane dopo l'attacco del Colonial Pipeline.

Come ha funzionato l'attacco allo stabilimento industriale di JBS?

Come nel caso della Colonial Pipeline, gli aggressori hanno infettato il sistema di lavorazione della carne di JBS con un ransomware. Hanno quindi minacciato di eliminare informazioni di alto profilo se la società non avesse pagato un riscatto in criptovaluta.

Gli attacchi informatici industriali seguono uno schema

Sebbene ciascuno di questi attacchi abbia un piano d'azione, uno schema che possiamo dedurre è che gli hacker hanno dovuto violare i protocolli di autenticazione per ottenere l'accesso iniziale. Raggiungono questo obiettivo tramite la forza bruta, il phishing o lo sniffing.

Quindi installano qualsiasi malware o virus nel sistema industriale di destinazione per aiutarli a raggiungere i loro obiettivi.

Gli attacchi informatici agli impianti industriali sono devastanti

Gli attacchi informatici stanno aumentando e stanno diventando spaventosamente redditizi su Internet. Come hai visto, non solo colpisce l'organizzazione mirata, ma si diffonde anche alle persone che beneficiano dei suoi prodotti. Le operazioni meccaniche stesse non sono vulnerabili agli attacchi informatici di per sé, ma le tecnologie digitali di controllo dietro di esse le rendono vulnerabili.

Detto questo, l'influenza dei sistemi di controllo digitale sui processi tecnici è preziosa. Le industrie possono solo rafforzare i loro firewall e seguire rigide regole di sicurezza, controlli ed equilibri per prevenire attacchi informatici.

6 migliori pratiche di sicurezza delle applicazioni Web per prevenire gli attacchi informatici

Prevenire gli attacchi informatici è fondamentale ed essere intelligenti durante l'utilizzo delle app Web ti aiuterà a proteggerti online.

Leggi Avanti

Circa l'autore