Aggiornamenti recenti Marzo 29th, 2024 9:00 AM
Giu 14, 2017 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS 0
Potrebbe essere responsabile dell’attacco avvenuto alle centrali energetiche in Ucraina del dicembre 2016 e rappresenta un vero flagello per le infrastrutture industriali.
Come spiega in un dettagliato report di ESET (che ha battezzato il trojan con il nome di Industroyer) il malware è stato sviluppato da qualcuno che ha conoscenze approfondite dei sistemi di automazione industriali ed è in grado di sfruttare ben quattro protocolli ICS (Industrial Control System) diversi.
Nel dettaglio, Industroyer è composto da una serie di moduli che sono in grado di interfacciarsi con gli standard IEC 60870-5-101 (o IEC 101); IEC 60870-5-104 (o IEC 104); IEC 61850 e OLE for Process Control Data Access (OPC DA).
Il componente principale del malware è una backdoor per sistemi Windows che consente ai pirati informatici di controllare il malware da un server Command and Control attraverso una connessione HTTPS e che, in molti casi, utilizza il circuito Tor per nascondere le sue tracce.
Il codice del malware contiene anche una sorta di timer, che permette di pianificare gli orari in cui avverranno le comunicazioni tra il trojan e il server C&C, permettendo agli autori di Industroyer di concentrare le comunicazioni in orari non sospetti, come quelli che coincidono con l’attività produttiva.
Il malware consente ai pirati informatici di eseguire più o meno qualsiasi tipo di operazione, come avviare una shell, scaricare eseguibili e installare nuovi componenti.
Stando alla ricostruzione di ESET, nella prima fase dell’attacco l’obiettivo dei cyber-criminali è però sostanzialmente quello di acquisire i privilegi di amministratore ed “evolvere” il malware al suo secondo stadio in cui verrà eseguito come un Windows Service Program.
Industroyer, però, contiene anche una backdoor aggiuntiva, che è in pratica una versione del Blocco Note di Windows contenente un trojan. Il suo scopo è quello di consentire ai pirati l’accesso alla macchina nel caso in cui il modulo principale sia individuato ed eliminato.
Questa “backdoor di scorta” comunica con un server C&C diverso, in modo che anche l’eventuale individuazione del primo server non consenta alla vittima di bloccarne le comunicazioni.
La parte “distruttiva” viene invece gestita da un altro modulo, che i ricercatori di ESET hanno chiamato Launcher e la cui funzione è quella di caricare due diversi payload che vengono avviati sul sistema infetto.
Il primo payload viene scelto in base al tipo di bersaglio e allo standard utilizzato e viene caricato sotto forma di una DLL. Le versioni create dai pirati informatici sono quattro e consentono, in pratica, di ottenere l’accesso a tutti i dispositivi all’interno dell’infrastruttura e modificarne le impostazioni a loro piacimento.
Il secondo payload, invece, viene usato nell’ultima fase dell’attacco ed è un Data Wiper pensato per cancellare le tracce dell’attacco. Si tratta di un componente programmato per individuare tutti i file che possono contenere informazioni sull’infiltrazione e cancellarli, sovrascrivendoli con dati casuali.
Il Data Wiper, infine, termina tutti i processi di sistema a parte sé stesso, provocando quasi invariabilmente un crash della macchina. Dal momento che il modulo modifica anche il registro di sistema, il computer risulta impossibile da avviare.
I ricercatori di ESET hanno individuato però altri strumenti integrati in Industroyer, tra cui un port scanner “fatto in casa” e un modulo che consente di portare attacchi Denial of Service nei confronti dei dispositivi Siemens SIPROTEC.
Insomma: Industroyer ha un livello di complessità ed efficacia che fa pensare a tutto fuorché all’opera di un “freelance” in vena di esperimenti con i sistemi industriali. Dalle parti di ESET, però, preferiscono andarci con i piedi di piombo prima di attribuire a qualcuno (il governo russo?) la paternità di Industroyer.
Quello che è certo, è che il malware non ha nulla da invidiare a “colleghi” più celebri come Stuxnet e che la sua stessa esistenza dovrebbe far suonare un campanello di allarme riguardo il livello di sicurezza delle infrastrutture industriali sull’intero pianeta.
Ott 20, 2023 0
Mag 30, 2023 0
Mag 22, 2023 0
Apr 21, 2023 0
Mar 29, 2024 0
Mar 28, 2024 0
Mar 27, 2024 0
Mar 26, 2024 0
Mar 29, 2024 0
Le aziende hanno compreso l’importanza della...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 27, 2024 0
La sanità viene presa di mira dagli infostealer: a dirlo...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...Mar 21, 2024 0
Acronis annuncia l’ottenimento della qualificazione...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 29, 2024 0
Le aziende hanno compreso l’importanza della...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 26, 2024 0
Un gruppo di ricercatori ha individuato un grosso problema...Mar 25, 2024 0
La scorsa settimana ha rappresentato una sfida...Mar 25, 2024 0
Il 22 marzo si è concluso il Pwn2Own, l’hackathon...