FOCUS ON

La Russia e presunti strumenti di attacco contro l’Operational Technology

29 Dicembre 2023

Nel corso del 2023 sono stati rivelati progetti che suggeriscono un presunto interesse della Russia per la realizzazione di strumenti mirati contro obiettivi dell’Operational Technology (OT).

A fine marzo, è stata pubblicata un’inchiesta basata su un leak di documenti che testimonierebbero il coinvolgimento della compagnia NTC Vulkan in alcuni progetti stipulati con il Ministero della Difesa russo. I progetti riguardano tool, programmi di addestramento e una piattaforma di red teaming per l’esercitazione degli agenti operativi in vari tipi di offensive cyber, tra cui gli attacchi OT, lo spionaggio informatico e le InfoOps.

NTC Vulkan è una società di consulenza per la cybersecurity con base a Mosca che annovera fra i propri clienti Sberbank, Aeroflot e le Ferrovie russe. È stata fondata nel 2010 da Anton Markov e Alexander Irzhavsky – entrambi diplomati all’accademia militare di San Pietroburgo e con un passato nell’esercito – e farebbe parte del complesso militare-industriale russo, insieme ad agenzie di intelligence, aziende commerciali e istituti di istruzione superiore. Dal febbraio 2022, quando la Russia ha avviato l’operazione militare speciale in Ucraina, lo staff di NTC Vulkan ha liberamente viaggiato in Europa occidentale, partecipando a conferenze di cybersecurity. 

I “Vulkan files”, fatti trapelare da un whistleblower, consistono in una raccolta di migliaia fra e-mail, documenti riservati, piani progettuali, budget e contratti – tutti risalenti al periodo 2016-2021 – che rivelerebbero le attività svolte dagli ingegneri di questa compagnia per le agenzie militari e di intelligence russe. Il loro contenuto è stato analizzato e validato da un consorzio di undici operatori dell’informazione, guidato da Paper Trail Media e Der Spiegel, che coinvolge The Guardian, Washington Post e Le Monde. Inoltre, cinque agenzie di intelligence occidentali ne avrebbero confermato l’attendibilità.

Alcuni documenti contengono quelli che sembrano essere esempi illustrativi di potenziali obiettivi: una mappa degli Stati Uniti sulla quale sono state evidenziate alcune località e regioni, nonché i dettagli di una centrale nucleare in Svizzera. In altri documenti si descrive l’arsenale di NTC Vulkan. Fra i tool di cui è stata scoperta l’esistenza, si sospetta che quello chiamato Scan-V sia stato utilizzato anche dall’APT Sandworm. Scan-V è un framework che comprende diversi componenti, tra cui un vasto database, metodi per raccogliere dati da varie fonti e una piattaforma per elaborare tali dati in ottica operativa. Lo strumento potrebbe consentire di sistematizzare e automatizzare offensive che vanno dalle campagne di spionaggio agli attacchi OT mirati. Un secondo sistema realizzato da NTC Vulkan, classificato Top Secret, è chiamato Crystal-2V e ha lo scopo di formare personale operativo da impiegare in attacchi distruttivi contro le infrastrutture critiche. Crystal-2V consente a trenta tirocinanti di lavorare contemporaneamente alla simulazione di compromissioni ai danni di linee ferroviarie, aeroporti, porti, sistemi di controllo industriale, stazioni elettriche e sistemi di comunicazione navale.

Il quadro si è arricchito di un possibile nuovo elemento a maggio, quando è stata rivelata l’esistenza di un tool chiamato COSMICENERGY, che si ipotizza sia stato sviluppato dalla società russa di cybersicurezza Rostelecom-Solar su richiesta del Cremlino

Tracciato a partire da dicembre 2021, COSMICENERGY è stato progettato per interagire da remoto con specifici modelli di Industrial Control System (ICS) che, hanno fatto notare gli analisti, sono adottati nei settori OT di infrastrutture critiche localizzate in Europa, Medio Oriente ed Asia. Il tratto distintivo di questo strumento è la capacità di manipolare da remoto specifici dispositivi basati sul protocollo IEC 60870-5-104 (IEC-104), come le unità terminali remote (RTU), che fungono da interruttori dell’energia elettrica, riuscendo ad impostare su di essi le modalità ON/OFF. 

L’associazione del tool a Rostelecom-Solar si basa su alcune prove indiziarie ed apre a due diverse ipotesi interpretative. A quanto risulterebbe, la società è stata finanziata dal governo russo nel 2019 per formare esperti in cybersecurity e intraprendere attività di emergency response. In questo contesto, COSMICENERGY potrebbe essere stato progettato in un’ottica difensiva proattiva, come strumento per la verifica della resilienza dei sistemi critici nazionali. E, sempre in quest’ottica, ne sarebbe stata sperimentata l’efficacia nel corso di un’esercitazione coordinata col ministero dell’Energia o in occasione del Forum Economico Internazionale di San Pietroburgo. A sostegno di questa interpretazione, la presenza di alcuni errori di funzionamento nel codice induce a immaginare una fase di implementazione non ancora matura.

Un’altra possibilità, che coniuga nello stesso contesto NTC Vulkan e Rostelecom-Solar, è che COSMICENERGY sia stato pensato come vero e proprio strumento offensivo, realizzato per conto dell’intelligence moscovita. Inoltre, l’ipotesi di una finalità d’attacco sarebbe avvalorata proprio dalle significative somiglianze di codice fra COSMICENERGY e minacce come Industroyer e TRITON/TRISIS, utilizzate in passato dagli avversari russi contro realtà energetiche in Ucraina e infrastrutture critiche in Medio Oriente.

A chiudere l’ipotetico giro, a novembre di quest’anno è stato rivelato un attacco, risalente al 2022, che Sandworm avrebbe effettuato ai danni di un’infrastruttura critica ucraina, sfruttando tecniche innovative per colpire i sistemi ICS e OT. Si è trattato di un’offensiva articolata in due fasi. Nella prima, che ha coinciso con attacchi missilistici di massa su infrastrutture critiche del Paese, sono state impiegate tecniche Living off the Land a livello OT per far scattare gli interruttori della sottostazione elettrica del target, causando un’interruzione di corrente. Nella seconda, probabilmente per arrecare ulteriori danni, è stata distribuita una nuova variante del wiper CaddyWiper nell’ambiente informatico della vittima.