Non è una novità che le reti IT collegate ai
sistemi di controllo industriale siano un
potenziale veicolo per attacchi mirati. L'elemento su cui va concentrata l'attenzione è che questa forma di attacchi si sta sviluppando in numero come in sosfisticazione:
Mandiant ha segnalato in questi giorni il caso di un attacco a una infrastruttura definita "critica" che ha portato al
blocco di alcuni sistemi. Un fattore importante è che questo attacco si è basato su un
malware mirato, battezzato
Triton, sviluppato per colpire un tipo particolare di controller industriali. Dopo Stuxnet e Industroyer, si tratta del terzo malware creato per colpire l'operatività delle infrastrutture critiche.
Secondo Mandiant, Triton è stato pensato per
interagire con i controller Triconex prodotti da
Schneider. Questi costituiscono un SIS (Safety Instrumented System), ossia una rete di monitoraggio dei sistemi e dei processi industriali che agisce in parallelo con la rete di controllo tradizionale, o Distributed Control System (DCS). In estrema sintesi, il sistema SIS verifica il buono stato dei processi e in caso di emergenza cerca di riportarli alle condizioni ottimali. Se questo non è possibile,
blocca del tutto le attività del processo monitorato.
L'incidente su cui Mandiant
ha indagato è stato generato grazie all'
infezione di una workstation collegata alla rete SIS, passando prima attraverso la rete del DCS collegato. Una volta installato sulla workstation, il malware Triton ha cercato di
riprogrammare i controller Triconex ma così facendo ne ha portati alcuni a uno stato di errore, cosa che a cascata ha portato automaticamente al
blocco dei processi industriali collegati. È stato questo che ha fatto avviare una indagine e poi scoprire l'infezione.
Il blocco dei sistemi
non pare essere stato volontario, il che però non rende l'attacco meno grave. Mandiant ritiene anzi che sia stato opera di un cosiddetto
state-sponsored actor e non di criminali informatici convenzionali o, peggio, di un hacker occasionale. Questo perché il tipo di attacco mostra la volontà di esplorare e di prendere il controllo di una infrastruttura critica, senza apparente motivo economico. Gli attaccanti hanno infatti compromesso sia il DCS sia il SIS, mettendosi nella condizione ideale
per creare il massimo danno. Un attaccante "normale" si sarebbe invece probabilmente fermato al DCS.
Inoltre sviluppare Triton ha richiesto
competenze e strumenti che non sono ampiamente disponibili. I controller Triconex usano un loro protocollo di comunicazione e controllo che non è documentato pubblicamente, quindi gli attaccanti hanno dovuto prima effettuarne il reverse engineering in proprio. Il rischio è che questo caso
apra la porta ad altri attacchi del genere, che possono "ispirarsi" a Triton per sviluppare strategie simili di penetrazione in impianti industriali.