Nel 12 giugno 2017, i ricercatori di ESET hanno pubblicato le loro scoperte su un malware unico nel suo genere, in grado di causare un blackout diffuso. Industroyer è stato il primo malware conosciuto sviluppato specificamente per colpire una rete elettrica.
In effetti, Industroyer era già stato utilizzato con un effetto considerevole qualche mese prima: il 17 dicembre 2016, dopo aver colpito una sottostazione elettrica locale, ha causato la perdita di energia elettrica per circa un’ora in migliaia di abitazioni in alcune zone di Kiev, in Ucraina. Pochi giorni dopo, il ricercatore di malware di ESET Anton Cherepanov avrebbe iniziato a dissezionare Industroyer.
Una bomba a orologeria
Una volta impiantato, Industroyer si è diffuso nella rete della sottostazione alla ricerca di specifici dispositivi di controllo industriale di cui poteva parlare i protocolli di comunicazione. Poi, come una bomba a orologeria, ha apparentemente aperto tutti gli interruttori in una volta sola, sfidando i tentativi degli operatori della sottostazione di riprendere facilmente il controllo: se un operatore cercava di chiudere un interruttore, il malware lo riapriva.
Per ripulire la sua impronta, il malware ha scatenato un data wiper progettato per lasciare i computer della sottostazione inutilizzabili e ritardare il ritorno alle normali operazioni. In effetti, il wiper ha spesso fallito, ma se avesse avuto più successo, le conseguenze sarebbero potute essere molto peggiori, soprattutto in inverno, quando un’interruzione di corrente può permettere alle tubature piene d’acqua di rompersi quando si congelano.
Un ultimo atto doloso è stato compiuto dal malware per disabilitare alcuni relè di protezione della sottostazione, ma anche questo è fallito. Senza relè di protezione funzionanti, le apparecchiature della sottostazione avrebbero potuto essere ad alto rischio di danni quando gli operatori avrebbero ripristinato la trasmissione elettrica.
Come Cherepanov e il collega Robert Lipovsky, ricercatore di ESET, hanno dichiarato all’epoca, la sofisticatezza di Industroyer rende possibile l’adattamento del malware a qualsiasi ambiente simile. Infatti, i protocolli di comunicazione industriale di cui parla Industroyer sono utilizzati non solo a Kiev, ma anche “in tutto il mondo nelle infrastrutture di alimentazione elettrica, nei sistemi di controllo dei trasporti e in altri sistemi di infrastrutture critiche (come acqua e gas)“.
D’altra parte, considerando quanto fosse sofisticato Industroyer, il suo impatto è stato in definitiva piuttosto insignificante, come hanno notato gli stessi ricercatori di ESET nel 2017. Forse si è trattato solo di un test per attacchi futuri, o forse è stato un segno di ciò che il gruppo dietro di esso poteva fare.
Il lavoro di Sandworm
I trucchi del malware, hanno osservato i ricercatori ESET, rispecchiano le intenzioni maligne delle persone che lo hanno creato. In occasione della conferenza Virus Bulletin del 2017, Lipovsky ha sottolineato che “gli aggressori hanno dovuto comprendere l’architettura di una rete elettrica, quali comandi inviare e come realizzarli“. I suoi creatori hanno percorso una lunga strada per creare questo malware, e il loro obiettivo non era solo un’interruzione di corrente. “Alcuni indizi nella configurazione di Industroyer suggeriscono che volevano causare danni e malfunzionamenti alle apparecchiature“.
In occasione del Black Hat 2017, Cherepanov ha anche sottolineato che “sembra molto improbabile che qualcuno possa scrivere e testare un simile malware senza avere accesso alle apparecchiature specializzate utilizzate nello specifico ambiente industriale preso di mira“.
Nell’ottobre 2020, gli Stati Uniti hanno attribuito l’attacco a sei ufficiali appartenenti all’Unità 74455, detta Sandworm, un’unità dell’agenzia di intelligence militare russa GRU.
Un ritorno per Industroyer
Arriviamo al 2022 e non sorprende che nelle settimane immediatamente precedenti e successive all’invasione russa del 24 febbraio, la telemetria di ESET abbia mostrato un aumento dei cyberattacchi rivolti all’Ucraina.
Il 12 aprile, insieme al CERT-UA, i ricercatori ESET hanno annunciato di aver identificato una nuova variante di Industroyer che ha preso di mira un fornitore di energia in Ucraina. Industroyer2 era stato programmato per tagliare l’energia elettrica a una regione dell’Ucraina l’8 aprile; fortunatamente, l’attacco è stato sventato prima che potesse creare ulteriore scompiglio nel Paese devastato dalla guerra. I ricercatori di ESET hanno valutato con grande sicurezza che Sandworm è stato nuovamente responsabile di questo nuovo attacco.
Un presagio di cose future
Negli ultimi anni è diventato più che evidente che i servizi infrastrutturali critici del mondo sono a forte rischio di interruzione. La serie di incidenti che hanno colpito le infrastrutture critiche in Ucraina (e, di fatto, in altre parti del mondo) ha risvegliato gran parte dell’opinione pubblica sui rischi di interruzioni di corrente elettrica indotte da attacchi informatici, interruzioni della fornitura di acqua, interruzioni della distribuzione di carburante, perdita di dati medici e molte altre conseguenze che possono fare molto di più che interrompere le nostre routine quotidiane – possono essere davvero pericolose per la vita.
Nel 2017, Cherepanov e Lipovsky hanno concluso il loro blog di ricerca con un avvertimento che, a distanza di cinque anni, è ancora valido: “A prescindere dal fatto che il recente attacco alla rete elettrica ucraina sia stato o meno un test, dovrebbe servire come campanello d’allarme per i responsabili della sicurezza dei sistemi critici in tutto il mondo“.
