La cyberwar continua a intrecciarsi con la guerra in Ucraina, al punto che non è quasi più possibile distinguere nettamente le due dimensioni. Un attacco informatico ha cercato, in due ondate, di colpire uno tra i principali impianti energetici ucraini, come svelato dal Cert-Ua (Computer Emergency Response Team of Ukraine), ma fortunatamente l’assalto è stato sventato.
Gli hacker di Sandworm, gruppo Apt (Advanced Persistent Threat) legato ai servizi di intelligence russi, hanno sferrato un primo attacco a febbraio e un secondo nella giornata dell’8 aprile. Come svelato dalla società di cybersicurezza Eset, che ha collaborato con il Cert-Ua, è stata utilizzata una nuova variante del malware Industroyer, il quale era stato impiegato nel 2016 dagli hacker di Sandworm per attaccare la rete dell’elettricità di Kiev, causando un blackout.
La nuova variante del malware, battezzata Industroyer2, ha preso di mira la sottostazioni elettriche ad alta tensione e ha potuto violare il sistema di gestione della rete ma non ha provocato interruzioni di corrente. Il malware è in grado di prendere il controllo di specifici sistemi di controllo di sistemi di controllo industriale (Industrial Control System, Ics), come quelli delle centrali elettriche. Eset ha già condiviso diversi dettagli tecnici sul funzionamento di questo malware, ma le investigazioni sono ancora in corso.
“Tutti coloro che operano nel settore delle infrastrutture critiche dovrebbero prestare particolare attenzione a questo attacco, perché è tra i pochi che ha colpito direttamente i sistemi Ot”, ha commentato Chris Grove, director, cybersecurity strategy di Nozomi Networks. “Secondo Nozomi Networks Labs, ci sono state segnalazioni di alcuni IP hardcoded nel campione di malware, indicazione che gli attori della minaccia avevano una conoscenza profonda dell’ambiente. Proprio come nel caso del malware che Sandworm aveva distribuito in Ucraina nel 2016, anche questa volta gli operatori Ics devono monitorare le loro reti per identificare ogni attività inconsueta poiché le tattiche russe prevedono una permanenza negli ambienti per settimane o mesi prima di colpire”.
Dunque un attacco simile potrebbe colpire anche altrove? Quanto dovremmo essere preoccupati? “Ci troviamo di fronte a un’importante evoluzione dei precedenti attacchi DDoS, relativamente poco sofisticati, ed è particolarmente interessante osservare come Sandworm sia di nuovo in azione”, ha fatto notare Justin Fier, vice president of tactical risk di Darktrace. “La Cisa e le altre agenzie governative del gruppo Five Eyes avevano previsto un attacco simile e avevano lanciato diversi allarmi. Per anni l'Ucraina ha avuto a che fare con questo tipo di minaccia, preparando la difesa con l'aiuto degli alleati globali, compresi gli Stati Uniti. Anche se non possiamo confermare le accuse, la speranza è che i governi di tutto il mondo prendano sul serio l’accaduto e si rendano conto che attacchi di questo genere potrebbe colpire anche loro. Qualsiasi attacco sul suolo ucraino, infatti, potrebbe verificarsi anche altrove ed essere replicato da altri gruppi cybercriminali o nation-states, causando effetti a catena attraverso la supply chain globale”.