La Cyber Guerra delle Infrastrutture

cyberwar

Ad oggi viviamo nel pieno di una guerra fredda che si sta combattendo nel cyberspazio. Grandi potenze, piccoli Stati, organizzazioni terroristiche e criminali si scontrano ogni giorno nel nuovo terreno di battaglia. Sotto i nostri occhi, dietro i nostri schermi, è in corso la battaglia più importante della nostra epoca, quella per aggiudicarsi il controllo dello spazio cibernetico. Halford John Mackinder, agli inizi del Novecento sosteneva che «chi controlla l’Heartland controlla il mondo intero»[1], oggi l’Heartland è il cyberspazio, e il suo controllo determinerebbe la vittoria di una Potenza sulle altre. Ma in questo clima di guerra fredda, come in quella passata che già conosciamo, abbondano le rappresentazioni geopolitiche e le narrazioni degli attori coinvolti. Una di queste, la più grande, è quella che annuncia la guerra che si sta invece già combattendo, ma la annuncia come una prossima cyberwar totale, un evento tanto distruttivo quanto imminente, ai cui combattenti vengono attribuiti ogni sorta di poteri e capacità, dal controllo di un’automobile in corsa alla manipolazione del pensiero. In realtà gli obiettivi più importanti di una cyber guerra tra Stati sono le infrastrutture critiche nazionali, ovvero quelle infrastrutture che permettono l’erogazione dei servizi essenziali che occorrono ad una Nazione per mantenere il suo modo di vivere, e soprattutto quelle dei Paesi più industrializzati sono le più vulnerabili. La loro vulnerabilità dipende dalla loro interconnessione, interdipendenza e, soprattutto, dalla loro gestione informatizzata.

I grandi sistemi industriali, come anche gli aeroporti e le grandi stazioni, sono gestiti da sistemi SCADA (Supervisory Control And Data Acquisition), ovvero sistemi di controllo, supervisione e acquisizione dati. Questi, come tutti i sistemi informatici connessi alla rete sono vulnerabili ad intrusioni esterne e manomissioni. Il caso più importante della violazione di sistemi del genere è l’attacco subito dalla centrale nucleare iraniana di Natanz attraverso il worm Stuxnet nel 2010.[2] Altri attacchi informatici negli anni passati hanno destabilizzato Paesi come l’Estonia e la Georgia[3], con l’interruzione di servizi essenziali come internet, servizi bancari e media. Ma finora pochi elementi al riguardo hanno consentito pallide ricostruzioni e impedito la costruzione di modelli su cui basare delle efficaci strategie difensive.

In nessun altro caso più che nel cyberspazio l’attacco è la miglior difesa. Seppur molto costose infatti le cyber weapons (le armi cibernetiche), ma anche la pianificazione e l’esecuzione di cyber attacchi, sono di gran lunga più economici di un sistema di difesa che faccia il suo dovere. A questo importante elemento si aggiunge la possibile anonimità dell’attaccante, per via della difficoltà di risalire con certezza al responsabile di un cyber attacco. Entrambi questi due elementi costituiscono lo sfondo e la premessa all’attuale cyber guerra fredda.

Ma in questi giorni un evento ha modificato il quadro della situazione, un attacco che potrebbe portare con sé, insieme alle proprie conseguenze, importanti sviluppi nel modo di intendere i cyber attacchi e la cyber guerra a livello internazionale, e forse anche normativo. Il cyber attacco alla rete elettrica gestita dalla società Prykarpattyaoblenergo in Ucraina del 23 dicembre scorso.[4]

Quel giorno, un black out totale ha lasciato senza energia elettrica 700 mila persone nella regione Ivano-Frankivsk, e le autorità hanno dichiarato lo stato di emergenza. Già dalle prime ore, le dichiarazioni ufficiali del governo e delle società energetiche accusavano interferenze esterne nei sistemi di controllo dell’energia elettrica, nessun dubbio che si trattasse di un sabotaggio. Da poco però sono stati resi pubblici i risultati di una ricerca sulla questione da parte della società di sicurezza informatica ESET[5] che spiega come il blackout sia stato provocato da un attacco informatico ai sistemi di controllo e gestione dell’energia. La società di intelligence e cyber spionaggio iSIGHT Partner ha dichiarato che si tratta del primo caso comprovato di un blackout provocato da una attacco informatico, e che i malware che hanno permesso ai sabotatori di agire si trovavano almeno sui sistemi di tre grandi operatori elettrici regionali.[6]

Esempio di configurazione di BlackEnergy usato nel 2015 - Fonte: ESET

Esempio di configurazione di BlackEnergy usato nel 2015 – Fonte: ESET

Gli attaccanti hanno utilizzato il malware BlackEnergy per disattivare alcune sottostazioni elettriche della rete. BlackEnergy era noto fin dal 2007, quando fu utilizzato e scoperto dopo numerosi attacchi a bersagli americani. Sempre secondo ESET, la rete elettrica di Ivano-Frankivsk non sarebbe l’unico obiettivo della zona, ma anche altri settori, come i media e i siti governativi, sono stati oggetto di attacchi dello stesso tipo. BlackEnergy era stato creato negli anni Duemila come strumento per sferrare attacchi DDoS, ma da allora è stato aggiornato e reso più sofisticato con l’aggiunta di nuove funzionalità, tra cui quella di installare backdoor nei sistemi penetrati e di rendere i sistemi informatici infettati inutili. L’ultimo aggiornamento, secondo i ricercatori di ESET, è stato l’aggiunta di un nuovo componente chiamato KillDisk[7] in grado di sovrascrivere il sistema operativo e bloccarlo. Il primo collegamento noto tra il malware e KilDisk era stato registrato in occasione delle elezioni in Ucraina nel Novembre scorso dal CERT-UA, quando furono distrutti migliaia di file audio e video. Ma la cosa più rilevante è la capacità specifica di questa nuova componente di sabotare i sistemi di controllo industriale, dunque le infrastrutture. Oltre al malware BlackEnergy è stata sfruttata anche una backdoor SSH per acceder ai sistemi. Il server SSH era stato configurato per consentire agli attaccanti di autenticarsi con una password e una privete key che gli hanno permesso di accedere al sistema in modo privilegiato e nascosto ogni volta che ne avevano bisogno.

Funzione di autenticazione nel server SSH - Fonte: ESET

Funzione di autenticazione nel server SSH – Fonte: ESET

Subito dopo il blackout, il Ministro dell’Energia ucraino ha avviato un’indagine per determinare le responsabilità, mentre i servizi d’intelligence pensano già alla Russia.[8] Tuttavia, precedenti attacchi sferrati utilizzando BlackEnergy sono stati attribuiti al Sandworm Team, un gruppo noto per attacchi a sistemi SCADA/ICS (Industrial control System). Il gruppo Sandworm è stato oggetto di studio di numerosi report della società iSIGHT Partners[9] per i suoi attacchi nei confronti della NATO, del governo ucraino e di società energetiche e di telecomunicazioni polacche, americane ed europee.

isightpartners.com

isightpartners.com

In questo scenario, ciò che appare più importante è la dimostrazione di ciò che già s’immaginava da tempo e che del resto era già successo, la messa offline del sistema di controllo di un’infrastruttura critica di una Nazione sovrana. Ora però, l’accaduto ha lasciato una traccia storica molto importante che avrà importanti ripercussioni sulla strategia di sicurezza nazionale dei Paesi europei. Se gli Stati si stanno già attrezzando per difendere le proprie infrastrutture da tali attacchi, è anche vero che lo sviluppo dei malware di ultima generazione non solo è ancora in testa ma si evolve a maggiore velocità delle strategie di cyber security. Certamente esistono misure di sicurezza che riducono le probabilità di cedere ad un attacco, ma nel cyberspazio, come nel mondo fisico, non esiste la sicurezza totale. In questi giorni le agenzie d’intelligence non solo ucraine stanno sondando il cyberspazio per verificare i responsabili e le motivazioni dell’attacco. E questa ricerca si inserisce a pieno nel macro contesto della cyber guerra fredda della nostra epoca, nella quale gli attori dell’arena internazionale si studiano e si attaccano a vicenda nell’intento di aggiudicarsi la fetta più grossa del nuovo allettante dominio.

Note:

[1] H. J. Mackinder, The Geographical Pivot of History, (tr. it.) Il perno geografico della storia, in I Castelli di Yale n. 1, 1996.

[2] F. Baragli, «Iran e Stuxnet: la nuova frontiera della cyberwar», Altitude, www.altd.it, 10/06/2010.

[3] Cfr. «Cyber-attacchi russi contro la Georgia: il Web nuova frontiera dei conflitti», La Stampa, www.lastampa.it, 13/08/2008; L. Locattelli, «In Estonia, sul fronte della cyberguerra», L’Espresso, http://espresso.repubblica.it, 24/09/2014.

[4] «Crimea al buio per un blackout: “E’ sabotaggio ucraino”. Kiev smentisce, ma sospende le forniture alla penisola russa», Huffington Postwww.huffingtonpost.it, 23/11/2015.

[5] «ESET Finds Connection Between Cyber Espionage and Electricity Outage in Ukraine», ESET, www.eset.com, 4/01/2016.

[6] J. Hiltquist, «Sandworm Team and the Ukrainian Power Authority Attacks», iSIGHT Partners, www.isightpartners.com, 07/01/2016.

[7] E. Kovacs, «BlackEnergy Malware Used in Ukraine Power Grid Attacks», SecurityWeek, www.securityweek.com, 04/01/2016.

[8] P. Polityuk, «Ukraine to probe suspected Russian cyber attack on grid», Reuters, www.reuters.com, 31/12/2015.

[9] S. Ward, «iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign», iSIGHT Partners, www.isightpartners.com, 14/10/2014.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

13 − sette =