Crash Override: il malware che ha fermato l’elettricità in Ucraina

Il blackout Crash Override che prima di Natale ha colpito Kiev potrebbe essere stato solo una prova generale di qualcosa di ben peggiore

Crash Override: una settimana prima dell’ultimo Natale, attorno alla mezzanotte, un gruppo di hacker ha colpito una stazione di trasmissione elettrica a nord della città di Kiev, oscurando una parte della capitale ucraina per un equivalente di un quinto della totale potenza cittadina erogata. Il blackout è durat circa un’ora e ha comportato gravi conseguenze.

Crash Override il malware che ha provocato un balckout

Ma ora i ricercatori che si occupano di cybersecurity hanno trovato prove che dimostrerebbero che il blackout potrebbe essere stato solo una prova generale di qualcosa di ben peggiore, testando l’esemplare più evoluto di un malware di grid-sabotaging mai osservato prima ad ora.

Le imprese di cybersecurity come Dragos Inc. intendono rilasciare analisi dettagliate di un pezzo di malware utilizzato per attaccare l’utenza elettrica ucraina Ukrenergo sette mesi fa, e ciò che sostengono rappresenta la testimonianza di un pericoloso avanzamento nelle infrastrutture critiche di hacking.

Crash Override un malware studiato per interrompere i sistemi

I ricercatori descrivono che il malware, che hanno denominato Industroyer o Crash Override, rappresenti il secondo caso di un malware costruito per interrompere i sistemi fisicamente. Il primo, Stuxnet, è stato utilizzato dagli Stati Uniti e Israele per distruggere le centrifughe in un impianto di arricchimento nucleare iraniano nel 2009.

Interruzioni programmate con il malware

I ricercatori affermano che questo nuovo malware possa automatizzare interruzioni di massa come quelle della capitale dell’Ucraina e che comprenda componenti che potrebbero consentire l’adattamento a diverse utility elettriche, riutilizzabili o addirittura lanciate simultaneamente in diversi obiettivi. Essi sostengono che tali funzionalità suggeriscano come l’interruzione del crash possa causare interruzioni molto più diffuse e più durature rispetto al blackout di Kiev.

Una minaccia per le reti elettriche di tutto il mondo

L’adattabilità del malware significa che lo strumento costituisca una minaccia non solo per l’infrastruttura critica dell’Ucraina, ma anche per altre reti elettriche di tutto il mondo, tra cui l’America. “È estremamente allarmante per il fatto che non sia un episodio riguardante la sola Ucraina. Hanno costruito una piattaforma che è stata sviluppata in funzione di attacchi futuri” afferma Robert M. Lee, fondatore della società di sicurezza Dragos.

Un blackout automatizzato programmato dagli hacker

L’interruzione avvenuta lo scorso dicembre è stato il secondo episodio in tanti anni in cui gli hacker – che si presume siano russi – hanno abbattuto elementi della rete elettrica dell’Ucraina. Insieme, i due attacchi comprendono gli unici casi confermati di blackout causati da hacker nella storia. Ma mentre il primo di questi attacchi ha ricevuto una maggiore risonanza pubblica, quello che lo ha seguito è passato quasi in sordina.

Invece di accedere alle reti delle utenze ucraine e di disattivare manualmente l’energia erogata alle sottostazioni elettriche, come è avvenuto nel 2015, l’attacco del 2016 è stato completamente automatizzato. Il colpo è stato programmato per includere la capacità di “parlare” direttamente all’apparecchiatura di rete, inviando comandi nei protocolli che i comandi utilizzano per accendere e spegnere il flusso di alimentazione. Ciò significa che Crash Override potrebbe eseguire più rapidamente gli attacchi di blackout, con molta meno organizzazione e numero ridotto d hacker coinvolti, secondo le stime di Robo di Dragos.

Si ripete la storia di Stuxnet

Così com’è avvenuto con Stuxnet, gli hacker potrebbero programmare Crash Override per eseguirlo senza alcun feedback da parte degli operatori – anche su una rete che è scollegata da Internet – ciò che Lee descrive come una funzionalità “bomba logica”, il che significa che potrebbe essere programmata per esplodere automaticamente in un tempo prestabilito.

Nessuna delle due società di sicurezza sa come il malware abbia infettato Ukrenergo. Ma una volta che Crash Override ha infettato le macchine Windows della rete di una vittima, i sistemi di controllo vengono mappati automaticamente e quindi vengono individuate le apparecchiature di destinazione. Il programma traccia anche registri di rete che possono comunicare con gli operatori, per dar loro la possibilità di capire in che modo i sistemi di controllo funzionino nel tempo.
Crash Override potrebbe quindi lanciare uno qualsiasi dei quattro moduli “payload”, ognuno dei quali comunica con l’apparecchiatura della rete tramite un protocollo diverso. Il malware potrebbe essere facilmente adattato ai protocolli più comunemente utilizzati altrove in Europa o negli Stati Uniti, scaricando nuovi moduli nel caso in cui il malware possa connettersi a Internet.

Oltre a questa capacità di adattamento, il malware può anche distruggere totalmente tutti i file presenti sui sistemi che infetta, per coprire le tracce successive di un attacco.

La ricerca di Mike Assante sui malware come Crash Override

Mike Assante, esperto di sicurezza della rete elettrica, nel 2007 ha guidato una squadra di ricercatori e ha mostrato come un generatore diesel di dimensioni enormi possa essere fisicamente e permanentemente compromesso attraverso i soli comandi digitali, affermando che un nuovo attacco potrebbe anche rivelarsi più distruttivo. Nel caso in cui gli hacker lo usassero in combinazione con il sovraccarico della potenza sulla rete, ciò potrebbe impedire la funzione di spegnimento che impedisce il surriscaldamento dei componenti dei trasformatori o di altre apparecchiature.

Crash Override può causare danni fisici

Crash Override potrebbe causare una distruzione fisica eseguendo un attacco ben strutturato su più punti di una rete elettrica. L’abbattimento degli elementi di una rete potrebbe causare una rottura “a cascata”, in cui un sovraccarico di potenza potrebbe dilagare con una reazione a catena.

Sospettati gli hacker russi

Nessuno si è esposto esposti nel dire con certezza chi possa aver creato il malware, ma la Russia sembra essere la sospettata numero uno. Per tre anni, una serie continua di cyberattack hanno bombardato le agenzie governative dell’Ucraina e della sua industria privata. All’inizio di quest’anno, il presidente ucraino Petro Poroshenko ha dichiarato in un discorso dopo il secondo blackout che gli attacchi sono stati eseguiti con il “coinvolgimento diretto o indiretto di servizi segreti della Russia, che hanno scatenato una cyberwar contro il nostro paese”.

Da dove arriva Crash Override

Crash Override potrebbe venire adattato in modo da influenzare altri tipi di infrastrutture critiche come il trasporto, le linee di gas o le strutture idriche e richiederebbe la riscrittura di parti dei codici. Se gli operatori della rete elettrica monitorassero da vicino le loro reti di sistema di controllo, potrebbero essere in grado di individuare le scansioni rumorose riconducibili ai malware prima di lanciare i payload.

I malware che hanno attaccato la rete di Kiev si sono rivelati più sofisticati, adattabili e pericolosi di quanto la comunità della cyberecurity potesse immaginare. “Nella mia analisi, niente di questo attacco sembra essere singolare” conclude Lee. “Il modo in cui è stato costruito, progettato ed eseguito lo fa apparire come se fosse stato pensato per essere utilizzato più e più volte. E non solo in Ucraina.”

Crash Override Ucraina Kiev

Kiev, Ucraina


Crash Override: il malware che ha fermato l’elettricità in Ucraina - Ultima modifica: 2017-06-14T15:11:55+00:00 da Francesco Marino

Giornalista esperto di tecnologia, da oltre 20 anni si occupa di innovazione, mondo digitale, hardware, software e social. È stato direttore editoriale della rivista scientifica Newton e ha lavorato per 11 anni al Gruppo Sole 24 Ore. È il fondatore e direttore responsabile di Digitalic

e-book guida ecm

Non rimanere indietro, iscriviti ora

Ricevi in tempo reale le notizie del digitale

Iscrizione alla Newsletter

controlla la tua inbox per confermare l'iscrizione

Privacy Policy

Grazie! Ora fai parte di Digitalic!