Sicurezza: infrastrutture critiche sotto attacco, avvisano DHS e FBI

Da diversi mesi è in atto una campagna APT ai danni di aziende che gestiscono infrastrutture critiche, passando attraverso le reti vulnerabili dei loro partner

Autore: Redazione ImpresaCity

Gli esperti di sicurezza informatica da tempo stanno sottolineando due fattori di rischio che sono in decisa crescita: da un lato gli attacchi alle infrastrutture critiche passando per le reti IT, dall'altro gli attacchi "laterali" che violano realtà piccole e poco protette per penetrare, direttamente attraverso le loro reti o usando le informazioni raccolte, nei sistemi di aziende più importanti. Ora le autorità americane - in particolare FBI e Department of Homeland Security (DHS) - hanno segnalato esplicitamente una attività mirata di attacco che sta da qualche mese combinando i due elementi.

L'allerta viene da un report pubblicato in questi giorni che indica la presenza di azioni di attacco continuato - tecnicamente una serie di Advanced Persistent Threat (APT) - con nel mirino aziende dei settori energia, nucleare, idrico, aviazione e manufacturing. Secondo il DHS questa attività è in corso da diverso tempo (almeno dallo scorso maggio) e chi la porta avanti si è posto obiettivi a lungo termine. Si tratta, sempre secondo il DHS, di "una campagna di intrusione a più stadi da parte di attori che colpiscono reti piccole e con poca sicurezza per accedere alle reti di realtà a maggior valore nel settore dell'energia".

Il primo livello di attacco colpisce i cosiddetti "staging target", perlopiù fornitori dei veri bersagli degli attacchi. I fornitori in sé sono considerati affidabili dalle aziende-bersaglio ma le loro reti sono troppo poco protette. Gli attaccanti le violano e le usano come ponte verso i veri bersagli o come repository di malware. Gli attacchi agli staging target avvengono prevalentemente con tattiche di spear phishing, usando come vettori documenti Office o PDF tramite cui raccogliere informazioni o scaricare malware sui computer colpiti.



Gli attacchi agli staging target servono anche a creare i "watering hole", in sintesi versioni compromesse di siti leciti a cui si collegano gli utenti dell'azienda-bersaglio. Questi siti possono ad esempio distribuire manualistica o informazioni (in questo caso sui sistemi industriali) e il codice delle loro pagine viene modificato in modo tale da distribuire malware o carpire le credenziali di chi vi si collega.

Passato lo stadio degli staging target, gli attaccanti entrano nelle reti dei loro veri bersagli e cercano di scaricare sui computer colpiti alcuni tool software per facilitare ulteriormente la penetrazione nella rete. Il DHS ha evidenziato vari tipi di tecniche di attacco che vengono messe in atto in questa fase, arrivando ad esempio alla creazione di account nascosti con privilegi di amministratore, all'attivazione di connessioni verso server di comando e controllo e alla disattivazione dei firewall.

Conquistata una "posizione" salda sui computer dell'azienda colpita, gli attaccanti iniziano in particolare a esplorare la sua rete alla ricerca di server che svolgono funzioni di controllo su sistemi industriali o che fanno parte di reti SCADA. Utilizzando tecniche come la cattura periodica delle schermate dei server colpiti, è possibile raccogliere informazioni utili a violare i sistemi indstriali stessi. L'alert statunitense fa tra l'altro notare che siamo di fronte a forme più evolute di attacchi già visti, in particolare quelli del gruppo Dragonfly.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.