Un attacco informatico ha lasciato al buio per qualche ora oltre 700.000 persone lo scorso 23 dicembre, quando i computer della Prykarpattya Oblenergo sono stati spenti da remoto.
I ricercatori di ESET, società specializzata in sicurezza, hanno scoperto che, in realtà, l'attacco non è stato un caso isolato, ma un vero assalto coordinato che ha coinvolto, anche se in modo meno grave, anche altre aziende del settore energetico.
Poco raffinato, ma evidentemente efficace.
L'attacco principale è stato condotto sfruttando il malware BlackEnergy, che oltre ad avere un nome molto in target con il tipo di operazione compiuta, ha anche il vantaggio di essere modulare e flessibile.
In particolare, le tracce lasciate dagli hacker confermano che è stata usata la componente KillDisk per mettere fuori uso i computer incaricati di gestire l'erogazione dell'energia.
In pratica, il modulo ha letteralmente fritto i dishi fissi, rendendoli inutilizzabili e causando un notevole ritardo nel ripristino delle funzionalità della centrale.
Il malware BlackEnergy è stato usato spesso in Ucraina e quasi sempre su target di livello elevato. Nel 2014, per esempio, un attacco simile a quello della centrale elettrica (con tanto di ricorso al KillDisk) è stato portato durante la campagna elettorale ai danni di un gruppo editoriale, causando la perdita di molto materiale tra i quali testi e video che stavano per esser diffusi.
Nei primi mesi del 2015, invece, sempre BlackEnergy era stato rilevato in diversi computer di altre società energetiche.
Ai tempi, però, non ci furono grandi danni e tutto fece presagire che quella infiltrazione era solo il primo stadio in preparazione di un attacco più esteso che, effettivamente, è poi stato portato a termine il 23 dicembre.
Abbiamo chiesto agli esperti di ESET quali sono i rischi in Italia e riportiamo la risposta che abbiamo ricevuto da Luca Sambucci:
"L'Ucraina è in stato di conflitto da anni, abbiamo già visto molteplici attacchi cibernetici alle sue istituzioni e alle sue infrastrutture; con un assedio del genere non ritengo sia strano che qualche attacco possa colpire nel segno.
Per quanto riguarda l'Italia, anche il nostro Paese ovviamente ha i computer e i server delle aziende energetiche collegati in rete, quindi - in teoria - attaccabili, ma nelle installazioni da noi eseguite all'interno di importanti aziende energetiche nessuna delle macchine SCADA e PLC era collegata direttamente a Internet.
La protezione assoluta ovviamente non esiste, soprattutto quando gli attacchi mirati sono condotti con un uso importante di risorse (ricordiamo il caso Stuxnet), ma le misure di sicurezza atte a impedire o mitigare attacchi cibernetici alle infrastrutture critiche del nostro Paese sono in funzione, i nostri tecnici sono generalmente ben preparati, e la divulgazione delle migliori pratiche è aiutata da gruppi come l'AIIC (Associazione Italiana esperti in Infrastrutture Critiche)."