I blackout in Ucraina sarebbero stati causati da un attacco hacker

Anche se gli esperti affermano che la causa delle interruzioni di corrente in Ucraina sia un attacco hacker, sono ancora poche le prove evidenti disponibili.
6.1.16
La centrale elettrica TES Burshtyn a Ivano-Frankivsk Oblast, in Ucraina. Non è chiaro se la centrale Burshtyn sia stata colpita, ma la rete elettrica a Ivano-Frankivsk Oblast ha subito numerose interruzioni di corrente. Immagine: Raimon Spekking/Wikimedia Commons

Il 23 dicembre in Ucraina un gestore locale della rete elettrica ha annunciato che parte del paese non stava ricevendo energia. La temporanea interruzione non è stata il risultato di un mero sabotaggio fisico—come, un mese prima, era accaduto a delle linee in Crimea, fatte saltare in aria con degli esplosivi—ma invece, secondo quanto riportato dalle autorità ucraine, è stata causata da un attacco informatico.

Il servizi di sicurezza interni del paese hanno immediatamente accusato la Russia per l'interruzione, secondo Reuters, e l'Ucraina ha dunque avviato delle indagini ufficiali per fare luce su ciò che possa essere davvero successo.

Negli scorsi giorni sono emersi nuovi dettagli riguardo l'attacco, incluso quello che sembra essere un campione di un malware trovato nel centro di controllo regionale della rete elettrica. Se è stato proprio quel malware il responsabile dei blackout, allora ci troveremmo davanti alla dimostrazione del fatto che i sistemi di controllo industriale, e in particolare le reti elettriche, sono realmente minacciati dagli attacchi cibernetici, confermando le paure dei ricercatori di settore.

"Non è stato difficile da risolvere, ma ogni volta che succede si tratta di un bel problema."

Circa una settimana dopo l'annuncio dell'attacco, Robert M. Lee, un ex addetto alle operazioni di cyberwarfare per l'aeronautica militiare americana, oltre che il fondatore e CEO di Dragos Security, ha scritto su SANS ICS Security Blog che lui e il suo team avevano ottenuto un campione del malware trovato nella rete colpita.

"Il fatto che sia stato effettivamente recuperato un malware installato sulla rete, e il fatto che si tratti di un software recente fornisce diverse garanzie in più per poter affermare che sì, l'Ucraina è stata vittima di un attacco digitale," ha spiegato Lee a Motherboard, in una chiamata. Lee ha anche detto che il malware era "singolare," implicando che non si trattava di una coincidenza che quel tipo di software si trovasse su quel tipo di rete durante il blackout.

"Il malware è un eseguibile per Windows a 32 bit, e la sua natura modulare indica il suo essere parte di una sistema più grande di malware," ha spiegato Lee in un post sul suo blog, per poi passare il campione a Kyle Wilhoit, un ricercatore esperto di cybersecurity presso Trend Micro. Wilhoit ha detto che il software era fornito di funzioni capaci di colpire l'intero sistema.

"La presenza di porzioni di codice provenienti da API che non vengono utilizzate dal malware indica che probabilmente parte del del codice è stato prelevato da altri programmi," scrive Jake Wlliams, fondatore di Rendition Security e istruttore presso il SANS—anche lui ha ricevuto un campione del malware da Lee. Williams ha aggiunto che il malware sembra avere un codice di "base" su cui vengono poi installati dei moduli.

Altri software malevoli hanno colpito dei sistemi industriali nel passato: "Havex" ha infettato dispositivi usati principalmente nei sistemi di controllo processi, come le pompe dell'acqua o le turbine; e "BlackEnergy," utilizzato in vere e proprio campagne per cybercrimini, è stato usato per colpire strutture adibite a centrali elettriche.

Un'investigazione condotta da Associated Press e pubblicata lo scorso dicembre ha rivelato che "sofisticati hacker stranieri" avevano ottenuto più di una dozzina di volte sufficienti permessi da poter controllare le reti elettriche negli ultimi dieci anni. Più in generale, il Wall Street Journal ha recentemente rivelato che degli hacker iraniani erano riusciti a penetrare all'interno dei sistemi della diga di New York nel 2013. All'ultimo Chaos Communication Congress, la kermesse annuale a tema security, politica e arte che si tiene ad Amburgo, in Germania, numerosi ricercatori hanno messo in guardia il pubblico delle numerosi falle presenti nei sistemi di controllo automatici delle ferrovie.

Dopo il post di Lee altri ricercatori hanno pubblicato le loro scoperte. Alcuni analisti dell'ESET hanno dichiarato che il malware trovato in Ucraina era proprio BlackEnergy. Altri hanno fatto un passo in più, e hanno scritto che BlackEnergy è stato trovato all'interno di altre centrali elettriche ucraine durante la settimana di Natale.

Uno dei gruppi ad avere utilizzato spesso il malware BlackEnergy e che, già in passato, ha attaccato strutture della rete energetica è il cosiddetto gruppo di hacker russi Sandworm. Potrebbe essere facile pensare che, vista la natura e il bersaglio dell'attacco, dietro ai blackout in Ucraina ci sia proprio Sandworm—si tratta però di una conclusione un po' troppo affrettata, viste le poche prove a disposizione. "BlackEnergy è in giro dal 2007 e sono diversi i malintenzionati che hanno sfruttato il malware da allora," Lee ha spiegato a Motherboard.

"Molti affermano che questo malware abbia a che fare con BlackEnergy. Posso essere d'accordo, e ci sono diverse buone analisi che supportano questa ipotesi," ha aggiunto. "Ma solo perché il malware utilizzato corrisponde a BlackEnergy non significa che l'attacco sia necessariamente collegato a Sandworm."

A prescindere da chi abbia commesso l'attacco, ciò che sembra essere accaduto è che gli hacker "abbiano causato un blackout di natura temporanea. Non è stato difficile risolvere, ma ogni volta che succede si tratta di un bel problema," ha detto Lee. "Non è esattamente semplice—bisogna comunque penetrare nel sistema e sfruttare le falle—ma non è particolarmente difficile."

Una delle possibili spiegazioni è che gli hacker abbiano potuto ottenere l'accesso attraverso un pannello di controllo della centrale controllato in remoto. Altri ricercatori affermano che le caratteristiche del malware abbiano potuto contribuire a eliminare dal sistema dei dati vitali al corretto funzionamento della centrale. In questo momento, entrambe le teorie sono fortemente speculative.

Anche se questo tipo di attacchi sono particolarmente semplici da portare a compimento, intrusioni più gravi e con ripercussioni a lungo termine sono operazione da architettare in molto più tempo, e si consumano molto meno frequentemente.

"Disattivare la rete elettrica, inanellare incidenti o prolungare a settimane gli effetti dell'attacco: ecco cos'è davvero difficile. Molti credono che sia molto più semplice di quelle che è," ha aggiunto Lee. Maggiori dettagli emergeranno nelle prossime settimane, quando il team assegnato alle investigazioni avrà finito di condurre le sue analisi.