All'inizio del 2020 è stata segnalata una serie di attacchi mirati contro organizzazioni industriali in diverse aree geografiche. Secondo le recenti scoperte del Kaspersky ICS CERT, questi attacchi sono stati principalmente indirizzati a sistemi localizzati in Italia, Giappone, Germania e Gran Bretagna. L'elenco degli obiettivi includeva fornitori di apparecchiature e software per le grandi industrie.
Le ricerche hanno rivelato che gli attaccanti hanno utilizzato documenti Microsoft Office resi dannosi, script PowerShell per rendere difficile l'individuazione e l'analisi del loro malware, e varie tecniche tra cui la steganografia, un'ingegnosa tecnologia di occultamento dei dati che cela la presenza di informazioni.
Gli attacchi mirati a obiettivi industriali destano l'attenzione della community di sicurezza informatica: si tratti di attacchi sofisticati e indirizzati alle aziende di importanza critica. L’interruzione della loro attività potrebbe provocare una serie conseguenze negative, dallo spionaggio industriale a perdite finanziarie totali.Anche la serie di attacchi esaminati presentava queste modalità.
Le e-mail di phishing, utilizzate come vettore iniziale dell'attacco, erano state adattate e tradotte nella lingua di ogni singola vittima. Il malware utilizzato in questo attacco eseguiva un'operazione dannosa solo se il sistema operativo era localizzato nell'area linguistica corrispondente alla lingua utilizzata nelle e-mail di phishing. Ad esempio, nel caso di un attacco a un'impresa giapponese, il testo di un'e-mail di phishing e del documento di Microsoft Office contenente la macro malevola dovevano essere scritti in giapponese. Inoltre, per decriptare correttamente il modulo malware, anche il sistema operativo doveva essere localizzato in Giappone.
Un'analisi più approfondita ha dimostrato che gli attaccanti hanno utilizzato la utility Mimikatz per sottrarre i dati di autenticazione degli account di Windows memorizzati su un sistema compromesso. Queste informazioni possono essere utilizzate dagli attaccanti per accedere ad altri sistemi all'interno della rete aziendale ed elaborare attacchi. Quando gli attaccanti ottengono l'accesso agli account che dispongono dei diritti di amministratore di dominio, si delinea una situazione particolarmente pericolosa.
In tutti i casi rilevati, il malware è stato bloccato dalle soluzioni di sicurezza Kaspersky, che hanno impedito agli attaccanti di portare a termine la loro attività. Pertanto, non è noto quale fosse l'obiettivo dei criminali. Gli esperti di Kaspersky ICS CERT continuano a monitorare nuovi casi analoghi. Eventuali attacchi di questo tipo possono essere segnalati tramite un apposito modulo sul sito web di Kaspersky.
«Questo attacco si è distinto per le diverse soluzioni tecniche non convenzionali impiegate dagli attaccanti. Ad esempio, il modulo malware è codificato all'interno dell'immagine con metodi steganografici e l'immagine stessa è ospitata su risorse web legittime. Tutto ciò rende quasi impossibile rilevare il download di tali malware tramite strumenti di monitoraggio e controllo del traffico di rete» ha spiegato Vyacheslav Kopeytsev, security expert di Kaspersky.
«L'attacco ai contractor riconferma la necessità di proteggere le postazioni di lavoro e i server, sia sulle reti corporate che operative, affinché gli impianti di energia elettrica possano funzionare in tutta sicurezza. Una solida protezione degli endpoint è in grado di prevenire simili attacchi, ma in questo caso raccomandiamo comunque di adottare l'approccio più completo per supportare la cyber-difesa dell'impianto industriale» ha aggiunto Anton Shipulin, Solution Business Lead, Kaspersky Industrial CyberSecurity.
Per ridurre il rischio di subire un attacco, Kaspersky raccomanda alle organizzazioni industriali di prestare particolare attenzione agli eventi di avvio dei processi PowerShell lanciati dalle applicazioni Microsoft Office. Se possibile, impedire che i programmi ottengano privilegi. Oltre a ciò, installare una soluzione di sicurezza per gli endpoint aziendali, come Kaspersky Endpoint Security for Business, e utilizzare gli account con diritti di amministratore di dominio solo se necessario.