Oltre mille centrali energetiche in 84 paesi sono cadute vittime di un massiccio cyberattacco. I bersagli, tra cui anche alcune centrali in Italia, hanno subito "solo" il furto d'informazioni ma secondo gli esperti di Symantec le cose avrebbero potuto prendere una bruttissima piega.
Sì perché l'attacco, in teoria, ha messo gli assalitori in condizioni di sabotare le centrali energetiche, arrestandone il funzionamento e compromettendone il buono stato. Di fatto, quindi, questa operazione avrebbe potuto lasciare letteralmente nell'oscurità moltissime persone.
Gli attaccanti fanno parte di un gruppo che si chiama Dragonfly, e si ritiene che siano di origine russa. Resta ignoto invece il vero scopo dell'attacco, che per ora sembra solo un'operazione di spionaggio. Forse si stavano cercando punti deboli, accumulando intelligence da sfruttare in un secondo momento.
Quanto alle tecniche usate, il gruppo Dragonfly può contare "un vasto catalogo di strumenti di malware", si legge sul blog di Symantec, e si già reso noto per un altro attacco di vasta scala contro i fornitori di sistemi ICS (Industrial Control System), i cui prodotti furono infettai (e venduti) con dei trojan. Questi ICS sono poi stati inseriti nelle infrastrutture dei compratori, che di conseguenza si sono trovati a rischio - un po' come accade a chi compra hardware manipolato dalla NSA.
Sono stati colpiti (almeno) due produttori europeo di PLC (Controllore logico programmabile): in un caso è stato compromesso un software usato per dare accesso VPN agli stessi PLC, e in un altro un driver dedicato a un prodotto specifico per il settore preso di mira. Una terza vittima è stata un'azienda - sempre europea - specializzata nella produzione di turbine eoliche, impianti a biogas e altre infrastrutture del settore energetico. In quest'ultimo caso si ritiene che il software infettato sia in circolazione da aprile 2014.
L'hardware compromesso è lo strumento principe di questo attacco - come lo fu nel caso Stuxnet - ma l'operazione è stata completata grazie anche a strumenti più tradizionali come il phising via email e il classico (ma sempre efficace) spam. Oltre a questo il gruppo "ha usato attacchi watering hole (siti infettati ad hoc, NdR).
Il gruppo ha usato due strumenti principali: backdoor.oldrea e trojan.karagany. Il primo sembra un malware personalizzato, "sviluppato dagli attaccanti stessi o per conto loro", continua l'articolo pubblicato da Symantec. Entrambi sono RAT (Remote Access Tool); Oldrea crea una backdoor sul computer colpito, che permette di estrarre dati e installare altri malware. L'attaccante non deve fare altro che scaricare dal server il file compresso con tutte le informazioni rubate. Anche Karagany può caricare su un server dati rubati, ma pure scaricare nuovi file (aggiornamenti) ed eseguire plugins – come per esempio strumenti per raccogliere le password. Karagany, stando sempre a Symantec, è stato usato solo nel 5% dei casi.
Insomma, software di controllo degli ICS infettati direttamente in fabbrica, spam, phising, watering hole, malware scritto apposta per l'occasione e costantemente aggiornato. Un vero e proprio cyberarsenale, che porta Symantec ad affermare che "Dragonfly ha i segni inequivocabili di un'operazione sostenuta da uno stato (come furono Stuxnet e i suoi simili, NdR), che mostra un alto livello di capacità tecniche. Il gruppo è in grado di portare attacchi tramite diversi vettori, e di compromettere molti siti di terze parti. […] Al momento il loro obiettivo principale sembra lo spionaggio, ma il potenziale sabotaggio è senz'altro una capacità secondaria".
Anche gli "orari di lavoro", infine, fanno pensare a una squadra collocata in un vero e proprio ufficio: i dati indicano infatti che il gruppo Dragonfly lavora dalle 9 alle 18.00, dal lunedì al venerdì. È proprio questa informazione che permette di collocarli nell'est europeo. Gente che esce dall'ufficio e si mischia al traffico, personaggi probabilmente anonimi - forse un po' eccentrici - che non farebbero sospettare alcunché. Perfetto materiale da spy story.