Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Contro il trojan Industroyer gli impianti industriali non hanno speranze
Il malware progettato per prendere di mira principalmente le infrastrutture di energia elettrica. Secondo alcuni analisti ci sarebbe lo zampino della Russia.
Potrebbe essere responsabile dell’attacco avvenuto alle centrali energetiche in Ucraina del dicembre 2016 e rappresenta un vero flagello per le infrastrutture industriali.
Come spiega in un dettagliato report di ESET (che ha battezzato il trojan con il nome di Industroyer) il malware è stato sviluppato da qualcuno che ha conoscenze approfondite dei sistemi di automazione industriali ed è in grado di sfruttare ben quattro protocolli ICS (Industrial Control System) diversi.
Nel dettaglio, Industroyer è composto da una serie di moduli che sono in grado di interfacciarsi con gli standard IEC 60870-5-101 (o IEC 101); IEC 60870-5-104 (o IEC 104); IEC 61850 e OLE for Process Control Data Access (OPC DA).
Il componente principale del malware è una backdoor per sistemi Windows che consente ai pirati informatici di controllare il malware da un server Command and Control attraverso una connessione HTTPS e che, in molti casi, utilizza il circuito Tor per nascondere le sue tracce.
Il codice del malware contiene anche una sorta di timer, che permette di pianificare gli orari in cui avverranno le comunicazioni tra il trojan e il server C&C, permettendo agli autori di Industroyer di concentrare le comunicazioni in orari non sospetti, come quelli che coincidono con l’attività produttiva.
Il malware consente ai pirati informatici di eseguire più o meno qualsiasi tipo di operazione, come avviare una shell, scaricare eseguibili e installare nuovi componenti.
Stando alla ricostruzione di ESET, nella prima fase dell’attacco l’obiettivo dei cyber-criminali è però sostanzialmente quello di acquisire i privilegi di amministratore ed “evolvere” il malware al suo secondo stadio in cui verrà eseguito come un Windows Service Program.
Definirlo un semplice malware è limitativo. Industroyer ha una struttura complessa e versatile, che gli permette di mettere KO qualsiasi tipo di sistema.
Industroyer, però, contiene anche una backdoor aggiuntiva, che è in pratica una versione del Blocco Note di Windows contenente un trojan. Il suo scopo è quello di consentire ai pirati l’accesso alla macchina nel caso in cui il modulo principale sia individuato ed eliminato.
Questa “backdoor di scorta” comunica con un server C&C diverso, in modo che anche l’eventuale individuazione del primo server non consenta alla vittima di bloccarne le comunicazioni.
La parte “distruttiva” viene invece gestita da un altro modulo, che i ricercatori di ESET hanno chiamato Launcher e la cui funzione è quella di caricare due diversi payload che vengono avviati sul sistema infetto.
Il primo payload viene scelto in base al tipo di bersaglio e allo standard utilizzato e viene caricato sotto forma di una DLL. Le versioni create dai pirati informatici sono quattro e consentono, in pratica, di ottenere l’accesso a tutti i dispositivi all’interno dell’infrastruttura e modificarne le impostazioni a loro piacimento.
Una volta scelto il payload più adatto per l’infrastruttura compromessa, il pirata informatico lo lancia usando il comando “Crash”.
Il secondo payload, invece, viene usato nell’ultima fase dell’attacco ed è un Data Wiper pensato per cancellare le tracce dell’attacco. Si tratta di un componente programmato per individuare tutti i file che possono contenere informazioni sull’infiltrazione e cancellarli, sovrascrivendoli con dati casuali.
Il Data Wiper, infine, termina tutti i processi di sistema a parte sé stesso, provocando quasi invariabilmente un crash della macchina. Dal momento che il modulo modifica anche il registro di sistema, il computer risulta impossibile da avviare.
I ricercatori di ESET hanno individuato però altri strumenti integrati in Industroyer, tra cui un port scanner “fatto in casa” e un modulo che consente di portare attacchi Denial of Service nei confronti dei dispositivi Siemens SIPROTEC.
Insomma: Industroyer ha un livello di complessità ed efficacia che fa pensare a tutto fuorché all’opera di un “freelance” in vena di esperimenti con i sistemi industriali. Dalle parti di ESET, però, preferiscono andarci con i piedi di piombo prima di attribuire a qualcuno (il governo russo?) la paternità di Industroyer.
Quello che è certo, è che il malware non ha nulla da invidiare a “colleghi” più celebri come Stuxnet e che la sua stessa esistenza dovrebbe far suonare un campanello di allarme riguardo il livello di sicurezza delle infrastrutture industriali sull’intero pianeta.
Condividi l'articolo
Kaspersky mette K.O. anche il ransomware Jaff
Windows sotto attacco. Valanga di aggiornamenti, compreso XP
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
