Intrusi industriali: come gli hacker stanno imparando a dirottare le fabbriche dall’interno

Immagina questo: un hacker nell’ombra si infiltra silenziosamente in un impianto di trattamento delle acque, non sfondando porte digitali, ma mimetizzandosi - usando contro l’impianto i suoi stessi sistemi di controllo e stranezze poco note. Fino a poco tempo fa, un sabotaggio mirato del genere era roba da thriller di spionaggio. Ora, avvertono gli esperti di cybersicurezza, la realtà sta recuperando rapidamente terreno e le fabbriche, le dighe e le infrastrutture critiche del mondo potrebbero presto trovarsi di fronte a una nuova razza di predatore digitale.

Per anni, la migliore difesa del mondo industriale contro i cyberattacchi è stata la sua stessa idiosincrasia. Vecchia, oscura e incredibilmente incoerente, la operational technology (OT) - i macchinari che gestiscono reti elettriche, impianti idrici e fabbriche - era semplicemente troppo strana perché la maggior parte degli hacker riuscisse a padroneggiarla. Quando colpiva il ransomware, spesso prendeva di mira i sistemi IT, con l’OT fermata solo come danno collaterale o come misura disperata di contenimento, come si è visto nel famigerato incidente Colonial Pipeline.

Ma quella fortuna potrebbe essere agli sgoccioli. Ric Derbyshire, principal security engineer di Orange Cyberdefense, avverte che gli attaccanti ora stanno facendo i compiti. Nella sua prossima dimostrazione alla RSA Conference, Derbyshire mostrerà come gli hacker possano “vivere dell’impianto”, un gioco di parole sull’approccio del mondo IT “living-off-the-land” (LotL), in cui gli attaccanti usano solo gli strumenti integrati di un sistema per restare inosservati.

La differenza? Nell’OT, ogni impianto è un rompicapo unico - alcuni costruiti negli anni ’80, altri negli anni 2020, tutti assemblati alla buona con tecnologie e processi diversi. In un esempio inquietante, hacker hanno avuto accesso all’interfaccia di controllo di una diga norvegese usando password predefinite, ma non avevano le conoscenze per causare danni reali. Quell’esitazione, suggerisce Derbyshire, potrebbe presto scomparire man mano che gli attaccanti imparano i dettagli dei protocolli industriali come l’S7comm di Siemens.

L’ascesa del “living-off-the-plant” significa che gli attaccanti potrebbero manipolare file di configurazione, esfiltrare dati sensibili o persino innescare interruzioni fisiche - il tutto camuffandosi all’interno delle normali operazioni. E con strumenti di IA e forum online che rendono la conoscenza OT più accessibile, l’oscurità è uno scudo che svanisce. Eppure, osserva Derbyshire, questa complessità può ancora far guadagnare ai difensori tempo prezioso per individuare e rispondere agli intrusi prima che si verifichi un disastro.

Mentre il cybercrimine evolve, la spina dorsale industriale del mondo affronta una minaccia silenziosa e crescente. La prossima ondata di attacchi OT non si annuncerà con malware appariscente, ma con un sabotaggio sottile - messo in atto da avversari che finalmente sanno quali leve tirare.

WIKICROOK

• Operational Technology (OT): La Operational Technology (OT) include sistemi informatici che controllano apparecchiature e processi industriali, spesso rendendoli più vulnerabili dei tradizionali sistemi IT.
• Living: Living off the Land significa che gli attaccanti usano strumenti di sistema fidati (LOLBins) per azioni malevole, rendendo le loro attività furtive e difficili da rilevare.
• Programmable Logic Controller (PLC): Un Programmable Logic Controller (PLC) è un computer specializzato che automatizza e controlla processi industriali in fabbriche, servizi pubblici e infrastrutture.
• Security by Obscurity: Security by Obscurity significa nascondere i difetti del sistema invece di correggerli, sperando che gli attaccanti non li trovino - un approccio alla sicurezza rischioso e sconsigliato.
• Human: Un essere umano è un individuo che interagisce con sistemi digitali, spesso fornendo supervisione, validazione e capacità decisionale in processi di cybersicurezza come HITL.