Il Malware colpisce ancora

Prima sono state colpite Enel e Honda, quest'ultima con un conseguente blocco della produzione; poco dopo è stato il turno di Geox che ha seguito il destino della casa automobilistica giapponese. Se dietro questi attacchi ci sia la stessa mano o lo stesso malware non è importante tanto quanto comprendere le modalità con cui sono stati perpetrati, non nuova ma purtroppo sempre più diffusa. Come spesso accade, queste vicende iniziano con il click sbagliato di un utente.

La fase iniziale è quindi interamente basata su tecniche di social engineering che sono ormai ben note: falsi messaggi di posta elettronica (phishing), messaggi fasulli (smishing) e telefonate ingannevoli (vishing). Spesso si è portati a pensare che a valle di una di queste azioni il risultato dell'azione criminale si produca in modo immediato (per esempio sul nostro dispositivo appare un messaggio in cui si afferma che tutti i dati sono stati cifrati e dobbiamo pagare un riscatto). In realtà nelle forme più sofisticate di aggressione informatica apparentemente non accade «nulla».

La Rubrica: Cybersecurity Week

Tutto sembra funzionare normalmente, e questo semplicemente perché si tratta soltanto del momento in cui il criminale si conquista l'accesso ai sistemi e da quel momento in poi inizia a muoversi «silenziosamente» al suo interno. Tecnicamente si parla di «movimenti laterali» (spostarsi in parti diverse del sistema) e «movimenti verticali» (cercare di ottenere maggiori privilegi, idealmente quelli di amministratore/gestore del sistema stesso). In tal modo si incrementa di diversi ordini di grandezza la possibilità di causare danni veramente gravi all'infrastruttura. Soltanto quando l'attaccante pensa di essere nella posizione corretta allora procede nell'esecuzione di tutte quelle attività che produrranno gli effetti nefasti. Tra i due momenti, quello d'infiltrazione e quello dell'esecuzione, possono passare giorni, settimane o mesi.

Da molti anni queste modalità operative sono utilizzate per colpire le istituzioni finanziarie con l'obiettivo di esfiltrare dati o meglio ancora denaro attraverso operazioni bancarie fasulle. Adesso sono state «esportate» per colpire anche aziende che fino a non molto tempo fa erano state risparmiate da questo tipo di attacchi, per esempio quelle del comparto energetico e industriale. Per quale ragione? L'espansione di quel complesso universo rappresentato dall'Internet delle Cose è un fenomeno noto a tutti e nel nostro immaginario collettivo si sostanzia in tutti quegli oggetti «smart» che iniziano a circondarci: televisori, termostati, impianti antifurto e in futuro auto, frigoriferi, lavatrici e via dicendo. Tuttavia a questo mondo appartengono anche oggetti di ben altre dimensioni e con funzioni molto diverse.

Si tratta dei cosiddetti sistemi industriali di produzione e controllo che sovraintendono al funzionamento di impianti che consentono la distribuzione dell'energia elettrica o dell'acqua, l'assemblaggio di auto, la gestione della logistica delle imprese manifatturiere. In particolare negli ultimi anni le grandi potenzialità delle nuove tecnologie e soprattutto dell'interconnessione ha portato tutte le organizzazione a investire pesantemente in quest'area (per quanto non se lo ricordassero in Italia i governi passati hanno ampiamente sponsorizzato l'idea di una Industria 4.0 che proprio su questa opportunità trovava le sue fondamenta). I criminali sono estremamente attenti alle tendenze di mercato, di conseguenza hanno capito che un attacco a realtà come Honda, Geox o Enel non soltanto era possibile, ma se eseguito con perizia poteva colpire queste realtà laddove «fa più male» cioè la produzione vera e propria sia essa di scarpe, auto o energia.

I sistemi che sono il cuore di realtà come queste sono oggi raggiungibili, forse non direttamente, ma di certo passando attraverso quei sistemi informatici che fino a ieri erano legati a un ambito puramente amministrativo, ma che oggi hanno più di un ponte verso il mondo della automazione industriale. In questo momento si tratta delle prede migliori: da un lato si può produrre una danno molto grande, dall'altro si tratta in molti casi di realtà che fino a ieri pensavano che il cyber crime non fosse un loro problema.