Kaspersky Lab, attraverso il suo ICS CERT, ha pubblicato una analisi che esamina lo scenario degli
attacchi informatici ai sistemi di controllo industriale (ICS, Industrial Control System). Si sa che questo tipo di attacchi è in rapida evoluzione e
sta crescendo sensibilmente anche in volumi, due constatazioni che le rilevazioni di Kaspersky Lab, relative alla seconda metà del 2018, sostanzialmente confermano.
Il principale dato di sintesi dell'indagine è infatti che la percentuale dei computer ICS su cui sono stati rilevati oggetti software malevoli è in aumento. Dal 44 percento registrato nel 2017
siamo saliti al 47,2. Il tasso di infezione dei computer ICS varia durante l'anno, il dettaglio importante in questo senso è stato che ogni mese del 2018 ha mostrato un tasso superiore al corrispondente mese del 2017. Un segno che l'incremento complessivo del 2018 non è dovuto ad
attacchi particolari "fuori norma" ma ad un
aumento generalizzato del livello di attacco.
I dati calcolati da Kaspersky Lab derivano dalle infezioni e dagli attacchi rilevati, a livello globale, dai suoi software installati sui computer ICS. Questa categoria comprende i PC Windows che operano come
sistemi di controllo e acquisizione dati in reti SCADA, server e gateway per la memorizzazione dei dati industriali, postazioni fisse e mobili di tecnici e operatori, unità di interfaccia uomo-macchina.
Le statistiche globali sono, appunto, globali. È forse più interessante notare che il tasso complessivo di infezione è spinto verso l'alto da
nazioni e regioni del mondo che sono particolarmente vulnerabili o prese di mira. Le regioni con il tasso di infezione più elevato sono
Africa (60,5 percento),
Sudest Asiatico (57,8) e
Asia meridionale (53,5) e in generale tutta l'Asia non è certo messa bene. Le regioni invece più sicure sono il Nord Europa (16,3 percento di tasso di infezione), USA/Canada (21,9) ed Europa Occidentale (22,3).
Ragionando invece per nazioni, quelle più problematiche sono
Vietnam (infezioni al 70 percento),
Algeria (69,9) e
Tunisia (64,6). Quelle più sicure sono invece Irlanda (11,7 percento), Svizzera (14,9) e Danimarca (15,2).
I vettori di attacco
Gli attacchi ai computer connessi ai sistemi ICS arrivano da
tre vettori principali: Internet, i device rimovibili come i pendrive, la posta elettronica. Il phishing in particolare è un sistema che gli hacker ostili
usano sempre più spesso per colpire i sistemi ICS, sfruttando il fatto che i computer collegati hanno loro client di posta con
indirizzi di email non specifici. In pratica, i computer ICS sono usati per consultare la posta di ufficio convenzionale, quindi è possibile raggiungerli con campagne di phishing generiche. Quasi nessuna azienda associa ai computer ICS indirizzi email propri, non usati per la comunicazione ordinaria di ufficio.
I
malware che colpiscono i computer ICS cercano di
sfruttare le vulnerabilità dei software che questi hanno a bordo e dei componenti ICS hardware e software a cui sono interfacciati. Le analisi di Kaspersky Lab indicano che nel 2018 sono state identificate oltre
quattrocento nuove vulnerabilità, con una netta prevalenza di quelle che colpiscono i sistemi di manufacturing (115 su un totale di 415) e quelli di controllo e distribuzione energetica (110).
Come è facilmente immaginabile, le vulnerabilità scoperte riguardano in maggioranza i componenti software, in particolare (34 percento dei casi) i
software ingegneristici come le piattaforme di sviluppo delle applicazioni SCADA e quelle per la programmazione del controller. I problemi qui spesso non stanno nelle piattaforme vere e proprie ma nei componenti di terze parti che esse usano. Un altro punto di vulnerabilità software sono
le app mobili usate in alcune applicazioni industriali e che non sembrano essere sviluppate con la debita attenzione.
Software a parte,
gli altri elementi più vulnerabili dei sistemi ICS sono i componenti SCADA (19 percento), i dispositivi di rete industriali (16 percento) e i PLC (11 percento).
Sono tutti elementi su cui vale la pena intervenire, anche perché - sottolinea il
report di Kaspersky Lab - la cronaca del 2018 ha mostrato che
i sistemi ICS sono nel mirino tanto delle APT quanto della criminalità informatica meno organizzata. Nel primo ambito, il secondo semestre 2018 ha registrato campagne mirate di gruppi vecchi e nuovi: Leafminer, BlackEnergy, MuddyWater, APT33 e Lazarus. La criminalità generica si occupa invece di attacchi
ransomware più o meno efficaci e di campagne di phishing molto mirate per la sottrazione di informazioni.