Un gruppo di hacker legati alla Russia ha tentato di mettere offline una dozzina di centrali elettriche e di gas statunitensi durante le prime settimane della guerra in Ucraina, avverte Robert M. Lee, fondatore e CEO di Dragos, una societร di sicurezza informatica. Gli hacker, appartenenti a un gruppo chiamato โChernoviteโ, stavano usando un software malevolo chiamato โPIPEDREAMโ per attaccare gli impianti di energia e gas statunitensi. Anche se il governo degli Stati Uniti ha rivelato lโanno scorso che il nuovo malware era in grado di infiltrarsi nei sistemi di controllo industriale degli Stati Uniti, i commenti di Lee suggeriscono che il pericolo fosse piรน acuto di quanto riferito dagli ufficiali. Lee ha descritto il malware come una โcapacitร di guerra di livello stataleโ e ha lavorato con unโampia coalizione di gruppi governativi e dellโindustria informatica per impedire lโattacco.
Pipedream il malware delle reti elettriche e sistemi industriali che fa tremare le agenzie USA
Il PIPEDREAM รจ il primo malware in grado di funzionare su una varietร di sistemi di controllo industriale e non รจ stato progettato per interrompere un sistema specifico, il che lo rende particolarmente pericoloso. Anche se il malware non รจ stato utilizzato con successo, Lee ha affermato che il gruppo โChernoviteโ รจ ancora attivo e si aspetta di vederlo impiegato in futuro.
Chi รจ Chernovite?
CHERNOVITE ha la capacitร di interrompere, degradare e potenzialmente distruggere ambienti industriali e processi fisici in ambienti industriali.
Attraverso la normale attivitร , la ricerca indipendente e la collaborazione con vari partner allโinizio del 2022, Dragos ha identificato e analizzato le capacitร di un nuovo malware su misura per ICS, PIPEDREAM. PIPEDREAM รจ il settimo malware noto specifico per ICS dopo STUXNET, HAVEX, BLACKENERGY2, CRASHOVERRIDE e TRISIS.
CHERNOVITE ha sviluppato un framework di malware ICS offensivo altamente capace. PIPEDREAM offre agli operatori la possibilitร di scansionare nuovi dispositivi, forzare le password, interrompere le connessioni e mandare in crash il dispositivo bersaglio. A tal fine, PIPEDREAM utilizza diversi protocolli, tra cui FINS, Modbus e lโimplementazione di CoDeSys di Schneider Electric.
I componenti di PIPEDREAM rappresentano la capacitร di tracciare lโevoluzione di una nuova capacitร ICS basata su tecniche note di attacchi precedenti. CRASHOVERRIDE e il gruppo di attivitร associato, Electrum, hanno sfruttato il protocollo OPC-DA per manipolare interruttori e dispositivi di commutazione. CHERNOVITE, invece, utilizza il protocollo OPC-UA, piรน recente ma comparabile.
Al livello piรน alto, i componenti legati al PLC di PIPEDREAM forniscono allโavversario unโinterfaccia per manipolare i dispositivi presi di mira. Contiene anche strumenti per le operazioni di intrusione contro i dispositivi Windows. PIPEDREAM si basa su diverse tecnologie ubiquitarie per facilitare lโintrusione e lo sfruttamento.
Dragos ritiene che PIPEDREAM non sia ancora stato distribuito in natura. Si tratta di un raro caso di accesso e analisi di capacitร dannose sviluppate dagli avversari prima della loro diffusione e offre ai difensori unโopportunitร unica di prepararsi in anticipo. Il team di Dragos ritiene che questa capacitร sia stata sviluppata da un attore statale con lโintenzione di sfruttarla in operazioni future. Il malware PIPEDREAM รจ indirizzato alle apparecchiature negli ambienti del gas naturale liquefatto (LNG) e dellโenergia elettrica, ma รจ ragionevole supporre che CHERNOVITE potrebbe facilmente adattare le capacitร di PIPEDREAM per compromettere e disturbare un insieme piรน ampio di obiettivi.