I ransomware e i servizi per il commercio illegale di credenziali d'accesso ai sistemi SCADA (Supervisory Control and Data Acquisition) emergono rapidamente come sfide ardue per i gestori dei sistemi di controllo industriale (ICS). L'allarme è stato lanciato dalla società di consulenza Booz Allen Hamilton, che fonda i suoi timori sui risultati di un'indagine condotta analizzando 259 incidenti informatici a sistemi ICS denunciati all'US Department of Homeland Security (DHS) negli ultimi 12 mesi.

L'analisi ha mostrato che gli attacchi contro i sistemi ICS sono aumentati del 15% nell'ultimo anno. Ad aggravare la tendenza, la progressiva riduzione delle barriere in ingresso per i cybercriminali che operano avendo come target i sistemi di controllo industriale. La disponibilità di offerte del tipo "as a Service" di kit di accesso a sistemi SCADA permette di operare attacchi potenzialmente molto pericolosi senza dover investire risorse consistenti per dotarsi degli strumenti adeguati a perpetrarli. Il settore dell'energia, come prevedibile, è in cima alla classifica per numero di attacchi subiti (46 in totale, pari al 16%). Ma per la prima volta anche le organizzazioni del settore manifatturiero, come i produttori di mezzi di trasporto, apparecchiature e componenti elettrici, lavorati del metallo hanno sperimentato un aumento degli incidenti. Booz Allen ha contato in totale di 97 incidenti contro queste organizzazioni, corrispondenti al 33% del totale.

Il rapporto attribuisce l'aumento dell'incidenza di questi attacchi a una sola campagna, condotta utilizzando la tecnica dello spear phishing mirato per distribuire malware (il cosiddetto "malware as a service"). Lo spear phishing è una forma mirata di truffa via e-mail che ha l'intento di ottenere l'accesso non autorizzato ai dati sensibili di un'organizzazione. A differenza del phishing, che sferra attacchi indiscriminati su vasta scala, lo spear phishing prende di mira un gruppo specifico di utenti o una precisa organizzazione/azienda.

L'uso delle tecniche di spear phishing come vettore di attacco iniziale contro gli operatori ICS ha subito un'impennata, passando dai 42 incidenti segnalati nel 2015 agli attuali 109, con un aumento del 160% in 12 mesi.

Solo il 12% degli incidenti di sicurezza che il DHS ha monitorato nel corso dell'anno ha visto compromettere la rete OT (Operational Technology), mentre il rimanente 88% ha riguardato attacchi diretti al perimetro o alla rete aziendale. Gli attacchi contro le reti OT sono considerati molto più gravi di quelli alla rete aziendale. I cyber criminali che ottengono l'accesso a sistemi che controllano operazioni critiche hanno, infatti, la possibilità di causare danni ingenti all'infrastruttura fisica, come aprire le paratoie in una diga o lasciare che un componente lavori in continuo, senza andare mai in modalità "sleep", fino a che non ne viene compromessa l'operatività.

Tra le nuove sfide agli ambienti Industry 4.0 individuati dalla relazione, spiccano i ransomware e l'Access as a Service ai sistemi SCADA. Questi ultimi scandagliano le reti di controllo industriale alla ricerca di vulnerabilità irrisolte (difetti "zero day") per sviluppare exploit in grado di sfruttarle prima che vengano sanate. Questa attività viene sempre più spesso offerta in modalità "as a Service" a chi è interessato a ottenere l'accesso non autorizzato alle reti ICS di terze parti.

 

2 novembre 2016