Nei primi sei mesi del 2019 le soluzioni Kaspersky si sono attivate su quasi la metà dei computer ICS (Industrial Control System) operanti nel settore energia a livello globale. Le tre principali minacce informatiche rilevate sono state worm, spyware e miner per il mining malevolo di criptovalute: tutte insieme queste cyberminacce hanno avuto impatto sul 14% del totale dei computer interessati. Questi sono solo alcuni dei principali risultati del report del Kaspersky ICS CERT dedicato al panorama delle minacce in ambito industriale nella prima metà del 2019.
Gli incidenti informatici a livello industriale sono tra quelli più pericolosi, perché possono determinare interruzioni nella produzione e produrre tangibili perdite economiche, oltre ad essere complessi da risolvere. Soprattutto quando l’incidente si verifica in settori critici e vitali, come quello dell’energia. Le statistiche per la prima metà del 2019, elaborate in modo automatico grazie alle tecnologie di sicurezza di Kaspersky, hanno dimostrato che chi gestisce soluzioni del settore energia non dovrebbe mai abbassare la guardia. In generale, nel corso dell’arco temporale preso in esame, le soluzioni Kaspersky si sono attivate sul 41,6% dei computer ICS che operano nel settore dell’energia. Un grande numero di campioni di malware convenzionali – quindi non progettati in modo specifico per l’ambito ICS – sono stati bloccati.
Tra i tanti programmi malevoli arginati, il pericolo maggiore è rappresentato dai mining di criptovalute (2,9%), dai worm (7,1%) e da una grande varietà di spyware versatili (3,7%). L’infezione da questo tipo di malware può influire negativamente sull’accessibilità e sull’integrità degli ICS e di altri sistemi che fanno parte delle reti industriali. Tra le minacce rilevate, alcune sono particolarmente interessanti.
AgentTesla, ad esempio, è un malware specializzato di tipo Trojan Spy, progettato per rubare informazioni di autenticazione, screenshot e dati catturati dalla fotocamera del computer o dalla tastiera. In tutti i casi analizzati, gli aggressori hanno inviato dati tramite caselle di posta elettronica compromesse all’interno di varie aziende. Oltre alla minaccia rappresentata dai malware, i prodotti Kaspersky hanno anche identificato e bloccato alcuni casi legati alla backdoor Meterpreter, che veniva utilizzata per controllare a distanza i computer delle reti industriali operanti in ambito energetico. Gli attacchi che utilizzavano la backdoor erano mirati e nascosti, spesso condotti in modalità manuale. La capacità degli aggressori di controllare i computer ICS infetti in modo clandestino e da remoto rappresenta un’enorme minaccia per tutti i tipi di sistemi industriali. Altro elemento importante, le soluzioni dell’azienda hanno rilevato e bloccato anche Syswin, un nuovo “wiper worm” scritto in Python e inserito nel format eseguibile di Windows. Questa minaccia può avere un impatto significativo sui computer ICS grazie alla sua capacità di auto-propagazione e distruzione dei dati.
Il settore dell’energia non è stato l’unico a dover affrontare oggetti e attività malevole. Anche altri settori, presi in esame dagli esperti di Kaspersky, hanno mostrato di essere sotto attacco: quello dell’automotive (39,3%) e quello della building automation (37,8%) si sono posizionati rispettivamente al secondo e terzo posto per percentuale di computer ICS con rilevazione di oggetti dannosi bloccati dalle soluzioni Kaspersky.
Il report di Kaspersky mette in luce anche altri risultati:
- I computer ICS, solitamente, non operano del tutto all’interno di un perimetro di sicurezza tipico degli ambienti aziendali; per la maggior parte sono protetti da molti tipi di minacce, di solito rilevanti anche per gli utenti unici, grazie all’utilizzo di misure e tool propri. In altre parole, le questioni legate alla protezione del segmento aziendale e quelle relative al segmento ICS non sono tra loro correlate.
- In generale, il livello di attività dannosa all’interno del segmento ICS è legato al contesto relativo all’attività dei malware in un dato paese.
- Nei paesi all’interno dei quali lo stato di sicurezza del segmento ICS è buono, il numero ridotto di computer ICS attaccati è da attribuire alle misure di protezione e agli strumenti utilizzati, non ad un livello basso dell’attività malevola in generale.
- In alcuni paesi sono molto attivi programmi malevoli che si auto-diffondono. Tra i casi analizzati, alcuni worm (della classe malevola Worm) progettati per infettare i supporti rimovibili (chiavette USB, dischi rigidi rimovibili, telefoni cellulari, ecc.) Sembra che le infezioni da worm attraverso supporti rimovibili rappresentino lo scenario più comune per quanto riguarda gli attacchi ai computer ICS.
“Le statistiche raccolte, così come l’analisi delle cyberminacce di tipo industriale, sono risorse di grande importanza per valutare le tendenze attuali e per prevedere i pericoli che potrebbero determinare dei rischi. Secondo il nostro report, gli esperti di sicurezza informatica dovrebbero essere particolarmente cauti nei confronti di software malevoli che hanno come obiettivo il furto dei dati, lo spionaggio su questioni di importanza critica, la penetration di un perimetro o la distruzione dei dati. Tutti questi tipi di incidenti informatici, infatti, potrebbero causare molti problemi ad una realtà industriale”, ha commentato Kirill Kruglov, Security Researcher presso Kaspersky.
Kaspersky ICS CERT raccomanda di mettere in atto le seguenti misure tecniche:
– Aggiornare regolarmente i sistemi operativi, i software applicativi e le soluzioni di sicurezza sui sistemi che sono parte della rete industriale di un’azienda.
– Limitare il traffico della rete sulle porte e i protocolli utilizzati sui router edge e all’interno delle reti OT dell’organizzazione.
– Fare delle verifiche sugli accessi ai componenti ICS nella rete industriale dell’azienda e ai suoi confini.
– Fornire formazione dedicata e supporto costante ai propri dipendenti, ai partner e ai fornitori che hanno accesso ad una determinata rete OT/ICS.
– Implementare soluzioni di protezione dedicate agli endpoint su server ICS, workstation e dispositivi HMI, come Kaspersky Industrial CyberSecurity, per proteggere le infrastrutture OT e quelle industriali da attacchi informatici casuali, oltre a soluzioni per il monitoraggio, l’analisi e il rilevamento del traffico di rete, per una protezione migliore dagli attacchi mirati.
La versione completa del report di Kaspersky dal titolo “Threat landscape for industrial automation systems, H1 2019” è disponibile online sul sito del Kaspersky ICS CERT.