Nell’ultimo anno sono stati rilevati quattro nuovi gruppi di hacking che prendono di mira i sistemi industriali per tentare di infiltrarsi nelle reti di infrastrutture critiche, come quelle dei produttori e gestori di energia elettrica, acqua, petrolio e gas. Lo scopo è quello di rubare informazioni, crittografando sistemi con ransomware o effettuando operazioni di hacking atte a determinare la potenziale interruzione di servizi essenziali.
Secondo i ricercatori cybersecurity di Dragos, il gruppo Kamacite, in particolare, sarebbe un “partner strategico” di Sandworm e del GU, ovvero il servizio di intelligence delle Forze armate russe, e gli avrebbe fornito diversi punti d’accesso a reti sensibili, permettendo così di portare a compimento attacchi a sistemi sensibili.
I due gruppi agirebbero quindi in sinergia, spartendosi l’un l’altro i compiti di violazione dei sistemi informatici. Pare quindi che Kamacite abbia preso ripetutamente di mira le società di distribuzione elettrica in tutto il Nord America e in Europa, ma non solo: parliamo anche di aziende che si occupano di petrolio, gas e altre aziende, sin dal 2017.
“Maggiore è la visibilità che costruiamo nello spazio OT, maggiore è la comprensione del suo panorama delle minacce e degli avversari attivi che possiamo identificare”, ha dichiarato a ZDNet Sergio Caltagirone, vicepresidente della threat intelligence di Dragos. “Gli attacchi di rete OT richiedono un approccio diverso rispetto alla sicurezza IT tradizionale. Gli incidenti IT hanno una frequenza frequenza più alta ed un impatto relativamente basso rispetto agli attacchi OT che sono di frequenza inferiore, ma hanno impatti ed effetti potenzialmente molto elevati”.
“La mancanza di visibilità aumenta i rischi in modo significativo perché consente agli avversari la libertà di condurre le operazioni senza impedimenti, il tempo per comprendere l’ambiente della vittima per individuare i propri obiettivi, raggiungere gli effetti desiderati e soddisfare l’intento di condurre un compromesso”, aggiunge Caltagirone.
Spesso, le campagne che prendono di mira i sistemi industriali sono effettuate tramite attacchi di phishing o tramite lo sfruttamento di servizi remoti, consentendo agli aggressori di utilizzare account reali per eseguire attività dannose, evitando di essere rilevati come sospetti.
Sembra che l’azienda di cybersecurity Dragos, confermi che anche nell’attacco portato a termine da Kamacite, i principali strumenti di intrusione utilizzati siano stati le e-mail di spear-phishing contenenti un payload con malware, con cui sono stati in grado di ottenere l’accesso a servizi basati sul cloud di Microsoft come Office 365 e Active Directory, nonché alle reti private virtuali. Una volta ottenuto l’accesso, sono stati sfruttati account utente validi per mantenere una presenza nella rete e usati tools, come Mimikatz, per accaparrarsi credenziali così da ottenere dati sensibili e manipolare risorse.
Attività del genere potrebbero avere anche effetti fisici lontani da un ambiente di rete, come recentemente dimostrato da quanto accaduto in Florida, dove un hacker è stato in grado di modificare le proprietà chimiche dell’acqua potabile dopo aver compromesso la rete dell’impianto di trattamento dell’acqua per la città di Oldsmar.
Tuttavia, esistono procedure di sicurezza informatica che le organizzazioni industriali possono implementare per aumentare la visibilità delle proprie reti e aiutare a proteggere i sistemi dalle intrusioni informatiche, come l’identificazione delle risorse che esercitano il controllo sulle operazioni critiche, l’assegnazione delle priorità alla sicurezza al fine di rendere più difficile l’accesso agli aggressori, e l’impostazione di procedure che semplificano l’identificazione degli attacchi.
Le organizzazioni dovrebbero anche tentare di applicare la segmentazione della rete, separando la tecnologia operativa dalla tecnologia dell’informazione, in modo che, in caso di aggressori che compromettono la rete IT, non sia semplice per loro passare lateralmente ai controlli OT sulla stessa rete.
Le credenziali di accesso dovrebbero anche essere adeguatamente protette tramite l’uso dell’autenticazione a più fattori, mentre le organizzazioni dovrebbero cercare di evitare l’uso di credenziali di accesso predefinite per fornire ulteriori barriere agli aggressori remoti.