Un gruppo di hacker legati alla Russia ha tentato di mettere offline una dozzina di centrali elettriche e di gas statunitensi durante le prime settimane della guerra in Ucraina, avverte Robert M. Lee, fondatore e CEO di Dragos, una società di sicurezza informatica. Gli hacker, appartenenti a un gruppo chiamato “Chernovite”, stavano usando un software malevolo chiamato “PIPEDREAM” per attaccare gli impianti di energia e gas statunitensi. Anche se il governo degli Stati Uniti ha rivelato l’anno scorso che il nuovo malware era in grado di infiltrarsi nei sistemi di controllo industriale degli Stati Uniti, i commenti di Lee suggeriscono che il pericolo fosse più acuto di quanto riferito dagli ufficiali. Lee ha descritto il malware come una “capacità di guerra di livello statale” e ha lavorato con un’ampia coalizione di gruppi governativi e dell’industria informatica per impedire l’attacco.
Pipedream il malware delle reti elettriche e sistemi industriali che fa tremare le agenzie USA
Il PIPEDREAM è il primo malware in grado di funzionare su una varietà di sistemi di controllo industriale e non è stato progettato per interrompere un sistema specifico, il che lo rende particolarmente pericoloso. Anche se il malware non è stato utilizzato con successo, Lee ha affermato che il gruppo “Chernovite” è ancora attivo e si aspetta di vederlo impiegato in futuro.
Chi è Chernovite?
CHERNOVITE ha la capacità di interrompere, degradare e potenzialmente distruggere ambienti industriali e processi fisici in ambienti industriali.
Attraverso la normale attività, la ricerca indipendente e la collaborazione con vari partner all’inizio del 2022, Dragos ha identificato e analizzato le capacità di un nuovo malware su misura per ICS, PIPEDREAM. PIPEDREAM è il settimo malware noto specifico per ICS dopo STUXNET, HAVEX, BLACKENERGY2, CRASHOVERRIDE e TRISIS.
CHERNOVITE ha sviluppato un framework di malware ICS offensivo altamente capace. PIPEDREAM offre agli operatori la possibilità di scansionare nuovi dispositivi, forzare le password, interrompere le connessioni e mandare in crash il dispositivo bersaglio. A tal fine, PIPEDREAM utilizza diversi protocolli, tra cui FINS, Modbus e l’implementazione di CoDeSys di Schneider Electric.
I componenti di PIPEDREAM rappresentano la capacità di tracciare l’evoluzione di una nuova capacità ICS basata su tecniche note di attacchi precedenti. CRASHOVERRIDE e il gruppo di attività associato, Electrum, hanno sfruttato il protocollo OPC-DA per manipolare interruttori e dispositivi di commutazione. CHERNOVITE, invece, utilizza il protocollo OPC-UA, più recente ma comparabile.
Al livello più alto, i componenti legati al PLC di PIPEDREAM forniscono all’avversario un’interfaccia per manipolare i dispositivi presi di mira. Contiene anche strumenti per le operazioni di intrusione contro i dispositivi Windows. PIPEDREAM si basa su diverse tecnologie ubiquitarie per facilitare l’intrusione e lo sfruttamento.
Dragos ritiene che PIPEDREAM non sia ancora stato distribuito in natura. Si tratta di un raro caso di accesso e analisi di capacità dannose sviluppate dagli avversari prima della loro diffusione e offre ai difensori un’opportunità unica di prepararsi in anticipo. Il team di Dragos ritiene che questa capacità sia stata sviluppata da un attore statale con l’intenzione di sfruttarla in operazioni future. Il malware PIPEDREAM è indirizzato alle apparecchiature negli ambienti del gas naturale liquefatto (LNG) e dell’energia elettrica, ma è ragionevole supporre che CHERNOVITE potrebbe facilmente adattare le capacità di PIPEDREAM per compromettere e disturbare un insieme più ampio di obiettivi.
