QR code per la pagina originale

Industroyer, malware che attacca la rete elettrica

Industroyer/Crash Override è un malware molto avanzato che può causare enormi danni alle reti elettriche e ad altre infrastrutture critiche.

,

Lo scorso mese di dicembre migliaia di cittadini di Kiev sono rimasti al buio, in seguito alla mancata erogazione dell’energia elettrica. Il blackout non era dovuto all’eccessiva domanda, ma è stato causato da un sabotaggio effettuato da un gruppo di cybercriminali (probabilmente russi), utilizzando un malware molto avanzato, denominato Industroyer da ESET e Crash Override da Dragos. Analizzando il codice, le due software house hanno scoperto interessanti dettagli sul suo funzionamento.

I ricercatori di sicurezza hanno sottolineato che il malware rappresenta un serio pericolo per le infrastrutture critiche, quindi non solo per la rete elettrica, ma anche per trasporti, telecomunicazioni, gas e acqua. Industroyer/Crash Override possiede infatti capacità distruttive simili a quelle di Stuxnet. Il malware è modulare e può essere modificato per eseguire attacchi simultanei e automatizzati contro qualsiasi infrastruttura presente in altri paesi. Quanto accaduto in Ucraina sarebbe solo un test effettuato per verificare la potenza del tool.

Industroyer/Crash Override è stato programmato per includere la possibilità di “parlare” direttamente con i sistemi di controllo industriali presenti nelle centrali elettriche, inviando comandi attraverso la rete informatica interna, nonostante sia scollegata da Internet. Ciò significa che gli autori hanno una profonda conoscenza dei protocolli utilizzati. Non è chiaro come il malware sia entrato nella centrale di Kiev (forse tramite email di phishing). Dopo aver infettato i computer Windows, Industroyer/Crash Override effettua una mappatura completa e individua il target.

Oltre a cancellare tutti i file di sistema, il malware è in grado di bloccare l’apertura/chiusura degli interruttori usati per disattivare/attivare parti della rete di distribuzione dell’elettricità. In caso di sovraccarico o surriscaldamento di alcuni componenti, gli operatori in centrale non potranno attivare il “kill-switch” con conseguenze catastrofiche, come la fusione delle linee elettriche e la distruzione dei trasformatori. Se l’attacco venisse effettuato su più punti si potrebbe innescare un blackout a cascata che lascerà al buio intere regioni e milioni di persone. Teoricamente, gli operatori hanno tutti gli strumenti per rilevare in tempo questo genere di malware.

Fonte: Wired • Notizie su: