Più agenzie governative degli Stati Uniti hanno emesso un allarme congiunto mercoledì, avvertendo della scoperta di una suite di strumenti informatici dannosi creati da attori di minacce avanzate senza nome che sono in grado di sabotare il settore energetico e altre industrie critiche.
L’allarme pubblico dei dipartimenti dell’energia e della sicurezza interna, l’FBI e la National Security Agency non hanno nominato gli attori o offerto dettagli sulla scoperta. Ma i loro partner di cybersicurezza del settore privato hanno detto che le prove suggeriscono che la Russia è dietro gli strumenti di disturbo del sistema di controllo industriale e che sono stati configurati per colpire inizialmente le preoccupazioni energetiche del Nord America.
Una delle aziende di cybersicurezza coinvolte, Mandiant, ha chiamato gli strumenti “eccezionalmente rari e pericolosi”.
In un rapporto, ha definito la funzionalità degli strumenti “coerente con il malware utilizzato nei precedenti attacchi fisici della Russia“, riconoscendo però che la prova che lo collega a Mosca è “in gran parte circostanziale“.
L’amministratore delegato di un altro partner governativo, Robert M. Lee di Dragos, ha convenuto che un attore statale ha quasi certamente creato il malware, configurato per colpire inizialmente il gas naturale liquefatto e i siti di energia elettrica in Nord America.
Lee ha rimandato le domande sull’identità dell’attore statale al governo degli Stati Uniti e non ha voluto spiegare come il malware sia stato scoperto, ma ha fatto capire che è stato catturato “prima che un attacco fosse tentato“.
“Siamo effettivamente un passo avanti all’avversario. Nessuno di noi vuole che capiscano dove hanno sbagliato“, ha detto Lee. “Una grande vittoria“.
La Cybersecurity and Infrastructure Security Agency, che ha pubblicato l’allarme, ha rifiutato di identificare l’attore della minaccia.
Il governo degli Stati Uniti ha avvertito le industrie di infrastrutture critiche consigliando di prepararsi a possibili cyberattacchi dalla Russia come ritorsione per le severe sanzioni economiche imposte a Mosca in risposta alla sua invasione del 24 febbraio in Ucraina.
Il presidente Joe Biden ha detto martedì che le prove di genocidio stanno montando nella guerra della Russia in Ucraina.
I funzionari sostengono sempre più frequentemente che l’interesse degli hacker russi nel settore energetico degli Stati Uniti è particolarmente alto, e la CISA ha esortato in una dichiarazione nei giorni scorsi ad essere particolarmente attenti alle misure di mitigazione raccomandate nell’allarme. Il mese scorso, l’FBI ha emesso un allarme dicendo che gli hacker russi hanno analizzato almeno cinque aziende energetiche senza nome per le vulnerabilità.
Lee ha detto che il malware è stato “progettato per essere una struttura per andare dopo un sacco di diversi tipi di industrie ed essere sfruttato più volte. Sulla base della sua configurazione, gli obiettivi iniziali sarebbero LNG ed elettrici in Nord America“.
Mandiant sostiene che gli strumenti rappresentano la più grande minaccia per l’Ucraina, i membri della NATO e altri stati che assistono Kyiv nella sua difesa contro l’aggressione militare russa ed ha aggiunto che il malware potrebbe essere utilizzato per spegnere i macchinari critici, sabotare i processi industriali e disattivare i controller di sicurezza, portando alla distruzione fisica dei macchinari che potrebbe portare alla perdita di vite umane. Ha paragonato gli strumenti a Triton, il malware tracciato da un istituto di ricerca del governo russo che ha preso di mira i sistemi di sicurezza critici e ha forzato due volte l’arresto di emergenza di una raffineria di petrolio saudita nel 2017 e a Industroyer, il malware che gli hacker militari russi hanno usato l’anno precedente per innescare un’interruzione di corrente in Ucraina. Lee ha detto che il malware appena scoperto, soprannominato Pipedream, è solo il settimo software maligno da identificare, progettato per attaccare i sistemi di controllo industriale.
Non avrebbe offerto ulteriori specifiche. Oltre a Dragos e Mandiant, l’avviso del governo degli Stati Uniti ringrazia Microsoft, Palo Alto Networks e Schneider Electric per i loro contributi.
Schneider Electric è uno dei produttori elencati nell’allarme la cui attrezzatura è presa di mira dal malware. Omron è un altro.
Mandiant ha detto di aver analizzato gli strumenti all’inizio del 2002 con Schneider Electric.
In una dichiarazione, il dirigente di Palo Alto Networks Wendi Whitmore ha detto: “Abbiamo avvertito per anni che la nostra infrastruttura critica è costantemente sotto attacco. Gli avvisi di oggi dettagliano quanto sofisticati siano diventati i nostri avversari“.
Microsoft non ha rilasciato dichiarazioni.
