Sin dalla fine di dicembre, la comunità di addetti ai lavori in ambito security si è impegnata per fare chiarezza su un probabile attacco hacker consumatosi in Ucraina e che ha portato una fetta del paese a finire in un temporaneo blackout. I ricercatori che hanno analizzato il malware trovate nei sistema della rete colpita ritengono che la responsabilità sia di un gruppo di hacker russi.Ciò che sta venendo ora alla luce è la natura coordinata dell'attacco. Michael J. Assante, direttore del SANS ICS, un gruppo di ricercatori con focus sui sistemi di controllo industriale, scrive che l'attacco hacker ha compromesso "numerosi elementi," e sono state anche rilevate misure che impedivano ai clienti di notificare le interruzioni di corrente alla compagnia.L'attacco è stato inizialmente segnalato il 23 dicembre, quando un'agenzia elettrica ucraina ha annunciato che parte del paese era rimasto al buio—i servizi di sicurezza nazionali hanno puntato il dito contro la Russia per il blackout. Poco dopo, alcuni ricercatori hanno ottenuto dei campioni di un malware trovato all'interno della rete colpita. Robert M. Lee, un ex operatore cyber warfare dell'Aeronautica statunitense e CEO di Dragos Security, ha inizialmente detto a Motherboard che si trattava di un malware "unico nel suo genere," e che probabilmente, proprio per questo, era responsabile delle interruzioni di corrente.
Pubblicità
Le analisi di Assante dimostrano lo sforzo dietro all'organizzazione della campagna: invece che infettare con un un singolo pezzo di malware, gli hacker hanno operato un attacco organizzato che ha ritardato le risposte dei clienti e dell'assistenza tecnica delle compagnie energetiche. Questo dimostra che l'attacco è stato probabilmente premeditato e organizzato con largo anticipo.Un elemento di questo approccio ragionato all'attacco è stato un'aggressione "denial of service" al sistema telefonico, spiega Assante. Gli hacker hanno anche installato un malware che impedisse ai tecnici della compagnia di rilevare l'attacco."Gli aggressori hanno dimostrato capacità di pianificazione, coordinazione e le abilità per utilizzare un malware che ha causato cambiamenti di stato indesiderati all'infrastruttura di distribuzione dell'energia elettrica—è stato rilevato anche il tentatio di ritardare il ripristino attraverso un attacco contro i server SCADA, dopo aver effettuato l'attacco," scrive Assante.Come hanno indicato altri ricercatori, Assante afferma che probabilmente ci sono stati altri obiettivi, scrievndo, "Riteniamo con grande sicurezza che si siano verificato degli attacchi coordinati contro numerose aziende di distribuzione energetica nel paese."Sono ancora molti gli interrogativi riguardo l'attacco che ha portato all'interruzione di corrente, in ogni caso: Assante scrive che sembra che non sia stato il malware stesso a spegnere le luci, ma che in realtà l'attacco hacker abbia facilitato l'apertura di "porte di sicurezza" che hanno infine permesso di disconnettere alcune regioni della rete elettrica."Riteniamo con grande sicurezza che si siano verificati degli attacchi coordinati contro numerose aziende di distribuzione energetica nel paese."