GreyEnergy, il malware che minaccia le centrali elettriche europee

GreyEnergy è il nome di un gruppo di malintenzionati e del loro software, che da almeno tre anni si intrufola in infrastrutture critiche in Ucraina e nell'Europa Orientale.

Avatar di Valerio Porcu

a cura di Valerio Porcu

Senior Editor

Alla fine del 2015 un attacco informatico lasciò al buio circa 700.000 persone in Ucraina. Fu un'operazione memorabile, messa a segno da un gruppo chiamato BlackEnergy. Oggi ESET racconta che il gruppo si sarebbe evoluto in GreyEnergy, e avrebbe a disposizione strumenti ancora più sofisticati e potenzialmente pericolosi. Non si può essere certi che siano le stesse persone, ma l'analisi del codice rende il sospetto più che fondato. Il nuovo malware individuato dall'azienda prende lo stesso nome del gruppo in questione.

"I nostri ricercatori hanno dimostrato oltre ogni dubbio che il toolkit di GreyEnergy replica e migliora le tecniche già sofisticate usate nei devastanti attacchi NotPetya e nei blackout in Ucraina", si legge infatti sul blog di ESET, con un rimando a uno degli attacchi più grandi che si siano mai registrati.

Il gruppo GreyEnergy, tuttavia, per il momento non sembra interessato a colpire in modo tanto incisivo. ESET sottolinea infatti che finora si sono concentrati su azioni di spionaggio e analisi, e che soprattutto si sono sforzati per passare inosservati.

Hanno sviluppato diversi metodi di attacco, che usano a seconda del bersaglio per diffondere il loro malware; per esempio, fa la differenza se la vittima ha un proprio server web, potenzialmente collegato alla rete interna. La prima infezione può passare da questo server, ma anche da un classico documento Word confezionato ad hoc e spedito via mail. In quest'ultimo caso di parla di spearphishing, cioè attacchi di phishing mirati a bersagli specifici. Una volta infettato un computer, il software lo analizza alla ricerca di possibili collegamenti con la rete industriale, nello specifico i sistemi di controllo delle centrali elettriche.

GreyEnergy è progettato per essere difficile da individuare. Tant'è che ha una modalità di funzionamento che esegue il programma solo in memoria temporanea, partendo da un singolo file DLL. In ogni situazione, GreyEnergy scarica solo moduli che servono, quando servono; un operatore remoto può cancellare le tracce in qualsiasi momento (per i dettagli tecnici si può consultare il PDF di ESET).

Solo spionaggio e analisi quindi. Un'azione "in incognito" mirata, suppongono gli specialisti di ESET, a preparare il terreno per attacchi futuri o, più probabilmente, realizzare una sorta di "arma pronta all'uso" da vendere a qualcun altro.

Ne abbiamo parlato con Luca Sambucci, Operations Manager di ESET.

Tom's: GreyEnergy è stato rilevato in Ucraina e in generale si parla di una minaccia nell'Europa Orientale. In Italia non abbiamo problemi?

LS: non si può certo dire che in Italia siamo intoccabili, ma è vero che non si sono rilevate tracce di GreyEnergy nel nostro Paese.

Tom's: questo perché le nostre infrastrutture sono protette meglio rispetto a quelle ucraine? Non sarebbe possibile colpirle con un web server o tramite un allegato?

LS: non conosco i particolari riguardo le protezioni di tutte le nostre infrastrutture, quelle sono informazioni che hanno solo i responsabili interni. Sicuramente sappiamo che l'Europa Orientale e il Regno Unito sono presi maggiormente di mira negli ultimi anni. E un maggior numero di attacchi significa una minaccia maggiore.

In questo continuo inseguirsi, infatti, chi attacca mille volte può fallirne 999, ma con un unico successo ottiene il suo scopo. Chi è in difesa invece parte svantaggiato, perché il suo obiettivo è fermare sempre tutti gli attacchi. Poi, tra l'Italia e altre aree del mondo, ci sono altre differenze; da noi per esempio c'è più consapevolezza in tema di security, mediamente siamo protetti meglio

Tom's: in che senso? In genere si dice che gli italiani, ma il pubblico di massa in genere, non ne sa molto di sicurezza informatica e che questo è il "vero" problema".

LS: sì è una battuta che si sente spesso ma in realtà poi tutti hanno un antivirus installato, o quasi tutti. E le aziende ci chiedono protezione per i loro server. In generale nel nostro paese c'è un buon livello di protezione, ed è importantissimo per la protezione di tutti noi.

Tom's: funziona un po' come i vaccini, che se la maggior parte è ben protetta allora anche chi non usa un antivirus può stare più sicuro?

LS:  Di certo se la rete di contatti che ti circonda è ben protetta riceverai meno attacchi, ma il software di sicurezza è comunque essenziale, perché appena ti colleghi a Internet verrai presto bersagliato da script automatici che cercano macchine vulnerabili.

Tom's: Come azienda avete investito oltre tre anni di lavoro per scovare GreyEnergy, arrivando a un risultato di altissimo livello che vi sarà costato molto. Perché lo fate? C'è un ritorno economico o di marketing?

LS: fa parte della nostra natura come società di sicurezza. I dati che abbiamo, la telemetria dei nostri software installati sui computer (oltre 100 milioni in tutto il mondo, NdR) ci mettono nella condizione di avere una visione dall'alto, panoramica, e di collaborare con le Forze di Polizia in tutto il mondo offrendo loro informazioni che difficilmente potrebbero ottenere da soli.

Spesso, in questo modo, possiamo fare da ponte tra le polizie di diversi paesi, fomentando la collaborazione. E così facendo aiutiamo tutti, non solo i nostri clienti, a stare più sicuri. Perché quando elimini una botnet riduci la minaccia per tutti; questo è importante perché anche chi usa il nostro antivirus non può avere certezze riguardo a chi gli sta intorno, come clienti e fornitori.

In ogni caso, queste attività non hanno una ricaduta immediata sul marketing che io sappia. Sì, può capitare un cliente che ti sceglie perché ha letto un articolo su di te come azienda, ma sono attività che facciamo soprattutto perché è una buona causa e perché rispettano la natura di una società di sicurezza come ESET.