FireEye spiega quanto può essere semplice violare un sistema industriale

Quando pensiamo agli attacchi ai sistemi OT, cioè quelli industriali, ci immaginiamo hacker estremamente competenti e che hanno a disposizione grandi risorse. Loschi figuri che prendono di mira una centrale elettrica, o una fabbrica, e investono molto tempo a scoprirne le vulnerabilità per poi sfruttarle a loro vantaggio. In realtà, non è sempre così e, spesso, ci sono attori che non si concentrano su una particolare infrastruttura, ma vanno alla ricerca di quelle facilmente attaccabili anche da chi non è particolarmente esperto. FireEye Mandiant ha analizzato alcuni di questi attacchi, scagliati fra il 2020 e il 2021. Nessuno di questi ha avuto un impatto serio sul mondo reale, ma quello che preoccupa è la frequenza di questo tipo di violazioni. 

Quando la motivazione non è economica ma politica

Nel mese di marzo 2020, FireEye ha analizzato una serie di attacchi a numerosi ICS (Industrial Control System) sparsi per il globo, in paesi come Nord America, Europa centrale e occidentale e Asia. Una raffica di attacchi che è andata avanti per cinque giorni, durante i quali gli attaccanti hanno condiviso filmati a bassa risoluzione delle loro azioni. Parliamo di sistemi critici, fra cui una diga, un sistema per l'esplorazione mineraria, un impianto solare. Nei filmati, gli attaccanti hanno mostrato la loro capacità di modificare alcuni parametri di funzionamento delle HMI, le Human Machine Interface.

Le intrusioni sono avvenute prevalentemente attaccando le connessioni VNC (virtual network computing), e poi prendendo il controllo delle interfacce, decisamente intuitive, fatto che permette anche a persone prive di competenze di poter modificare alcuni aspetti del funzionamento del sistema. 

"Consola" il fatto che queste azioni avessero uno scopo politico e dimostrativo, tanto che gli annunci delle violazioni erano a opera di gruppi di hactivisti pro-Palestina, apparentemente non intenzionati a causare danni seri ma solo a dar voce alle loro proteste. Il fatto che però persone con competenze limitate siano riuscite a penetrare questi sistemi è estremamente preoccupante.

Quando gli hacker prendono fischi per fiaschi

Alcune delle operazioni di hacking lanciate da attori dilettanti mostrano evidentemente le scarse competenze nell'OT. In un'occasione, un hacker ha postato la foto di un sistema di controllo ferroviario che sosteneva di aver violato. L'attacco oggettivamente c'è stato ma lo sprovveduto hacker non si è reso conto di un dettaglio che invece non è sfuggito agli investigatori di FireEye: il sistema ferroviario in questione non controllava un impianto reale, ma un set di modellini. 

Ancora più significativo l'esempio di un attaccante che sosteneva di aver eluso le difese di un "gas system" israeliano. Anche in questo caso, il bersaglio è stato mancato di parecchio: l'attaccante, in questo caso, aveva infatti preso il controllo del sistema di ventilazione della cucina di un ristorante a Israele.

Curioso il fatto che questi attori stiano anche pubblicando dei tutorial su come portare avanti questo tipo di attacchi: guide molto semplici, che spiegano più che altro come trovare sistemi vulnerabili tramite il motore di ricerca IoT Shodan o andando a ricercare tramite Censys i sistemi con la "porta" 5900 aperta. 

Non sottovalutare questi attacchi

Se fortunatamente questi attaccanti non avevano intenzione di fare seri danni, ma solo azioni dimostrative, lascia comunque a bocca aperta il fatto che delle persone tanto inesperte possano accedere a sistemi remoti con relativa facilità. Anche senza volerlo, questi hacktivisti potrebbero creare seri danni. Ma, soprattutto, attirare con le loro scorribande l'attenzione di attori ben più competenti, che potrebbero sfruttare le vulnerabilità per azioni più concrete.