Quando il codice uccide: L'ascesa degli attacchi informatici cinetici
Hai visto la recente serie Netflix “Zero Day”, con protagonista Robert De Niro? (Io sono solo al quarto episodio, quindi niente spoiler, per favore.)
Nel caso non lo avessi fatto, la trama ruota attorno a un massiccio attacco informatico che colpisce praticamente ogni sistema computerizzato negli Stati Uniti. Tutto si spegne per un minuto, poi tutto viene ripristinato. Ma il risultato è che migliaia di persone muoiono, mentre aerei e treni si schiantano, impianti industriali esplodono, e così via.
La distruzione reale e la perdita di vite umane collocano questo attacco immaginato nella categoria degli attacchi informatici cinetici. E sebbene la natura specifica dell'attacco fittizio—che bypassa simultaneamente ogni strategia di sicurezza e colpisce ogni tipo di sistema operativo, dai telefoni cellulari ai sistemi di controllo industriale—lo renda estremamente improbabile, il fatto è che gli attacchi informatici cinetici sono in aumento.
E nonostante siano passati quindici anni dal primo attacco cibernetico cinetico, gli esperti avvertono che i sistemi industriali e infrastrutturali critici rimangono insufficientemente protetti contro tali attacchi.
Attacchi cinetici nel mondo reale
Stuxnet
Nel 2010, il primo caso noto di attacco informatico cinetico si è verificato quando i professionisti della sicurezza hanno identificato un pezzo di malware chiamato Stuxnet. È generalmente accettato che il malware sia stato sviluppato dalle forze governative israeliane e statunitensi. È stato utilizzato contro elementi del programma di sviluppo di armi nucleari dell'Iran, sfruttando diverse vulnerabilità di Windows precedentemente sconosciute.
Stuxnet è stato specificamente progettato per distruggere le centrifughe che l'Iran utilizzava per arricchire l'uranio. Alterando la programmazione di specifici tipi di controllori logici programmabili (PLC), ha causato il funzionamento irregolare delle centrifughe, portandole infine all'autodistruzione. Si stima che l'attacco abbia ritardato il programma di armamenti dell'Iran di almeno due anni.
Forse, cosa più importante, la scoperta di Stuxnet ha annunciato al mondo che le infrastrutture critiche potevano essere danneggiate o distrutte utilizzando nient'altro che codice dannoso.
Colonial Pipeline
Nel 2021, Colonial Pipeline è stata colpita da un attacco ransomware che ha spinto la società a chiudere le operazioni del suo oleodotto e gasdotto. I sistemi di controllo industriale (ICS) che gestivano i gasdotti non erano separati dai sistemi dati dell'azienda, lasciando aperta la possibilità di un fallimento catastrofico se il ransomware si fosse trasferito da uno all'altro.
Alla fine non si è verificato alcun danno o distruzione dei sistemi fisici, tuttavia la chiusura ha avuto un forte e immediato effetto sui prezzi dell'energia e sulla disponibilità ed è ritenuto che abbia messo gli Stati Uniti a rischio strategico.
Attacco alla centrale di trattamento delle acque in Florida
Anche nel 2021, un criminale informatico è riuscito ad accedere all'impianto di trattamento delle acque di Oldsmar, Florida, utilizzando una piattaforma software di accesso remoto protetta da password, inattiva da tempo. L'aggressore ha regolato i controlli per aggiungere 100 volte la quantità normale di idrossido di sodio, alias liscivia, all'acqua.
Fortunatamente, un operatore che era online ha notato l'attacco in corso e ha ripristinato il controllo prima che si potessero causare danni. È terrificante pensare a cosa sarebbe potuto succedere se l'attacco fosse avvenuto di notte quando nessun operatore legittimo avrebbe potuto essere online.
Protezione dei sistemi vulnerabili
Negli ultimi anni ci sono molti più esempi di attacchi informatici cinetici. E non c'è motivo di aspettarsi che non continuino a proliferare.
I sistemi ciber-fisici (CPS), ovvero sistemi computerizzati connessi a internet nonché a sistemi fisici e meccanici, sono ovunque intorno a noi. Dai sistemi ICS e infrastrutture critiche fino ai comuni dispositivi IoT, come frigoriferi e pacemaker, traiamo enormi vantaggi da questa tecnologia.
Ma mentre sia il governo che l'industria hanno accettato sempre più la necessità di una sicurezza robusta per proteggere i dati e le reti tradizionali, molti dei sistemi CPS più vulnerabili, inclusa l'infrastruttura critica che potrebbe causare danni massicci e persino la morte se attaccata, continuano a essere inadeguatamente protetti.
Cosa dovrebbero fare gli amministratori di questi sistemi per proteggerli meglio dagli attacchi?
Uno dei primi e più importanti passi è implementare una segmentazione robusta dei sistemi CPS per impedire agli aggressori di utilizzare le reti dati per penetrarli e comprometterli. Se possibile, dovrebbero essere isolati fisicamente, cioè completamente separati fisicamente da internet e da altre reti e sistemi.
Un altro passo importante è implementare controlli di accesso molto rigorosi, come i sistemi zero-trust, utilizzando i principi di minimo privilegio per garantire che solo coloro che hanno un'assoluta necessità di accedere ai sistemi CPS abbiano l'autorità per farlo.
Investire in sistemi di sicurezza avanzati, inclusi firewall di rete e applicazioni, almeno allo stesso livello di quanto investono nelle soluzioni di sicurezza per le loro reti e sistemi tradizionali, incentrati sui dati.
Esegui frequenti audit di sicurezza per garantire che tutto il software sia aggiornato e che tutte le vulnerabilità conosciute siano prontamente risolte. Inoltre, assicurati che tutte le vie di accesso temporanee concesse ai contrattisti o ai tecnici esterni siano eliminate non appena non sono più necessarie.
Le poste sono sempre state alte quando si tratta di sicurezza informatica. Ma man mano che aumenta la frequenza e la gravità degli attacchi informatici cinetici, quelle poste crescono incommensurabilmente.
Iscriviti al blog di Barracuda.
Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.
