Operational Technology e minaccia cyber

Il malware FrostyGoop e l’ombra della Russia

Il Cyber Security Situation Center del servizio di intelligence ucraino SBU ha segnalato un sabotaggio informatico contro un’azienda di teleriscaldamento in Ucraina che, lo scorso inverno, ha causato l’interruzione dei servizi ai clienti per due giorni, lasciando al freddo oltre 600 condomini in un’area metropolitana.

Secondo le analisi condotte su questo evento da una società di sicurezza informatica, gli avversari potrebbero aver utilizzato il malware FrostyGoop, progettato per la compromissione dei sistemi di controllo industriale (ICS) e mirato nel caso specifico controun ENCO control device.

Al momento, né la minaccia, né l’attacco in Ucraina sono stati associati ad avversari noti. Tuttavia, l’interesse di Mosca per l’Operationl Technology (OT) è stato confermato da recenti scoperte.

La minaccia cyber contro l’OT fra 2023 e 2024

Secondo il 2024 Threat Report, OT Cyberattacks with Physical Consequences, realizzato da Waterfall Security Solutions in collaborazione con l’ICS STRIVE, il tasso di crescita complessivo degli attacchi contro l’OT dal 2010 al 2023 è stato di portata esponenziale. L’analisi dà conto nel dettaglio di incidenti rilevati nel 2023 contro i settori manifatturiero, delle infrastrutture industriali critiche, dell’automazione degli edifici e dell’industria pesante.

In totale, risultano 68 offensive – che hanno impattato soprattutto USA e Germania, seguiti da Canada, Francia, Israele, Svizzera e UK – con conseguenze su oltre 500 siti fisici. Ad essi vanno aggiunti 12 “near misses”, fra cui uno segnalato contro l’infrastruttura energetica della Danimarca, nel quale potrebbe aver avuto un ruolo l’APT russo Sandworm. A fine novembre 2022, lo stesso Sandworm ed Energetic Bear erano stati associati anche ad attività di ricognizione sui sistemi della società olandese Gasunie, che si occupa di trasporto e infrastrutture del gas naturale nei Paesi Bassi e in Germania.

Dei 68 casi censiti, più del 50% è basato su ransomware e circa il 15% è di matrice hacktivista.

Alcune operazioni hacktiviste si inseriscono nell’ambito delle schermaglie tra il gruppo filoisraeliano Predatory Sparrow e i Cyber Av3ngers, presumibilmente affiliati ai pasdaran iraniani.

Altre sono state rivendicate da realtà che operano a sostegno di Mosca. In particolare, il Dipartimento del Tesoro americano ha sanzionato due cittadini russi, accusati di essere la leader e l’operatore principale del collettivo People Cyber Army.  Secondo le carte ufficiali, alla fine del 2023, il gruppo avrebbe iniziato a rivendicare violazioni di ICS in diverse infrastrutture critiche – come impianti idrici ed energetici – negli Stati Uniti e in Europa. Inoltre, nel gennaio 2024, si sarebbe ascritto la responsabilità dello straripamento di alcuni serbatoi di stoccaggio dell’acqua in Texas, rilasciando su un forum pubblico il video della manipolazione delle interfacce uomo-macchina in ciascuna struttura. Infine, avrebbe compromesso il sistema SCADA (Supervisory Control And Data Acquisition) di un’azienda energetica statunitense, ottenendo il controllo degli allarmi e delle pompe dei serbatoi.

Riguardo alle campagne ransomware, un’analisi rilasciata quest’anno prefigura un cambio di paradigma che potrebbe portare gli avversari a rivolgersi sempre più contro l’OT, con l’obiettivo di rendere le offensive più temibili.

Nel complesso, la previsione è che nel 2024 saranno effettuati almeno 100 attacchi cyber contro l’Operational Technology.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.