La Russia potrebbe minacciare gli Stati Uniti con una nuova arma cibernetica. Secondo quanto ricostruito da un articolo del Washington Post, un team di hacker sostenuto dal Cremlino avrebbe creato un malware in grado di mandare fuori uso reti e centrali elettriche. La vicenda però è complicata e conviene procedere con ordine. A fine 2015 fece notizia uno strano blackout che colpì una regione occidentale dell’Ucraina: un’interruzione di corrente che lasciò al buio per diverse ore centinaia di migliaia di persone. La causa del disservizio è stata poi identificata nel malware Blackenergy che, probabilmente diffuso da pirati informatici russi, era riuscito a penetrare fino ai sistemi Scada e a mandare in tilt le macchine. Un episodio isolato, fonte di ulteriori attriti fra Kiev e Mosca, certamente non idilliaci dalle manifestazioni di piazza del 2013-2014.
Ma quello di Blackenergy non è stato l’unico caso. Lo scorso anno, a dicembre, è caduto sotto i colpi di un altro malware l’operatore ucraino Ukrenergo: il programma maligno, in modo analogo a quanto successo nel 2015, è riuscito a disconnettere una stazione di trasmissione provocando un’ora di blackout a Kiev e lasciando al buio migliaia di persone. Ma i due attacchi presentavano una differenza fondamentale.
Nel primo caso, infatti, i movimenti del malware erano stato comandati dall’esterno, mentre nell’episodio più recente il software è riuscito a completare il lavoro in modo completamente automatico. Questa seconda minaccia, ribattezzata CrashOverride dalla società di sicurezza Dragos, sembra essere alla base del nuovo strumento che, secondo il Washington Post, sarebbe ora nelle mani della Russia. L’attacco alla centrale di Kiev, quindi, sarebbe stato un primo test andato a buon fine.
Il programma malevolo, chiamato anche Industroyer dall’azienda slovacca Eset, sarebbe stato modificato in modo da poter prendere di mira i gestori non solo statunitensi, ma anche europei, mediorientali e asiatici. In pratica, larga parte del mondo. Questo grazie alla struttura modulare di CrashOverride, che ne modifica ed estende le funzionalità alla bisogna: una caratteristica che rende il software ideale anche per colpire altri settori, non solo quello energetico.
Il nuovo malware è noto come CrashOverride o Industroyer
Ma il malware, pur rappresentando uno strumento potenzialmente letale, non è il primo di questo genere. Gli esperti, e soprattutto Robert M. Lee, numero uno di Dragos, hanno tracciato un netto parallelismo con Stuxnet, primo programma malevolo della storia ad essere stato sviluppato per colpire in modo specifico i sistemi industriali. Il software venne creato su mandato di George W. Bush, in collaborazione con Israele, per boicottare il programma nucleare dell’Iran, colpendo in maniera mirata la centrale di Natanz.
CrashOverride presenta molte analogie con Stuxnet, come la capacità di cancellare qualsiasi traccia della propria presenza e la possibilità di controllare direttamente gli switch delle sottostazioni elettriche e gli interruttori dei circuiti. Secondo Eset, il malware “utilizza i protocolli di comunicazione industriale utilizzati a livello mondiale” nelle infrastrutture critiche, gli stessi sviluppati decine di anni fa.