Scoperto in USA il malware dedicato ai sistemi di controllo industriali, fabbriche e reti elettriche si chiama Pipedream.
E’ stato scoperto un nuovo malware progettato per prendere di mira i sistemi di controllo industriali come reti elettriche, fabbriche, servizi idrici e raffinerie di petrolio, ed è particolarmente pericoloso visti i sistemi che vuole colpire, il suo nome è Pipedream.
Qualche giorno fa il Dipartimento dell’Energia USA, la Cybersecurity and Infrastructure Security Agency, l’NSA e l’FBI hanno rilasciato congiuntamente un avviso su un nuovo set di strumenti hacker potenzialmente in grado di introdursi in un’ampia gamma di dispositivi per sistemi di controllo industriale. Il malware contiene una serie di componenti progettati per interrompere o assumere il controllo del funzionamento dei dispositivi, inclusi i controllori logici programmabili (PLC) venduti anche da Schneider Electric e OMRON e progettati per fungere da l’interfaccia tra i computer tradizionali e gli attuatori e sensori negli ambienti industriali. Purtroppo il malware non si ferma a questo perché un suo componente è progettato per prendere di mira i server OPC UA (Open Platform Communications Unified Architecture).
Sembra che questo strumento di attacco al sistema di controllo industriale sia il più ampio mai documentato, come ha rilevato la società di sicurezza informatica specializzata nel settore Dragos, che ha contribuito alla ricerca pubblicato il proprio rapporto sul malware Pipedream. Dragos afferma che il malware ha la capacità di dirottare i dispositivi di destinazione, interrompere o impedire agli operatori di accedervi, bloccarli in modo permanente o persino usarli come punto d’appoggio per consentire agli hacker l’accesso ad altre parti della rete di controllo dei sistemi industriali. Il nome Pipedream è stato dato proprio da Dragos, il malware sembra mirare specificamente ai PLC Schneider Electric e OMRON, lo fa sfruttando il software sottostante in quei PLC noto come Codesys, che viene utilizzato in modo molto più ampio in centinaia di altri tipi di PLC. Purtroppo questo fa pensare che il malware potrebbe essere facilmente adattato per funzionare in quasi tutti gli ambienti industriali.
L’avviso CISA fa riferimento a un attore APT non meglio identificato che ha sviluppato il kit di strumenti malware, utilizzando l’acronimo comune APT per indicare minaccia persistente avanzata, un termine solitamente utilizzato per gruppi di hacker sponsorizzati dallo stato. Non è affatto chiaro dove le agenzie governative abbiano trovato il malware o in quale paese sia stato creato. Sebbene l’adattabilità del toolkit significhi che potrebbe essere utilizzato praticamente contro qualsiasi ambiente industriale, dalla produzione al trattamento delle acque, Dragos sottolinea che l’apparente focalizzazione su Schneider Electric e sui PLC OMRON suggerisce che gli hacker potrebbero averlo studiato specificamente per la rete elettrica e le raffinerie di petrolio ma in particolare gli impianti di gas naturale liquefatto, tenuto conto dell’ampio utilizzo di Schneider nei servizi elettrici e dell’ampia adozione di OMRON nel settore petrolifero e del gas.
L’avviso CISA non indica alcuna vulnerabilità particolare nei dispositivi o nei software presi di mira dal malware Pipedream. Purtroppo, a quanto pare, anche correggere tali vulnerabilità non impedirà la maggior parte delle capacità di Pipedream cioè dirottare la funzionalità prevista dei dispositivi di destinazione e inviare comandi legittimi nei protocolli che utilizzano. L’avviso CISA include un elenco di misure che gli operatori infrastrutturali dovrebbero adottare per proteggere le proprie attività, dalla limitazione delle connessioni di rete dei sistemi di controllo industriale all’implementazione di sistemi di monitoraggio per i sistemi ICS che possano inviare allarmi per comportamenti sospetti.
La scoperta del toolkit per malware come Pipedream è un evento raro. Il primo caso noto di questo tipo di malware rimane Stuxnet, il codice creato da Stati Uniti e Israele che è stato scoperto nel 2010 dopo essere stato utilizzato per distruggere le centrifughe di arricchimento nucleare in Iran. Più recentemente, hacker russi noti come Sandworm, hanno implementato uno strumento chiamato Industroyer.
Tuttavia, data l’ampiezza delle sue funzionalità, l’avviso Pipedream è una new entry particolarmente preoccupante nel panorama dei malware ICS con il quale tutte le aziende interessate devono confrontarsi prima possibile.