2022/07/14

Iran, attacco informatico ad acciaieria ha conseguenze molto reali

Questo articolo è disponibile anche in versione podcast audio.

Il 27 giugno scorso una delle più grandi acciaierie in Iran, la Mobarakeh Steel Company (info su Wikipedia), ha vissuto momenti drammatici: stando a vari video non confermati ma ritenuti attendibili, poco dopo che alcuni operai si erano allontanati da una zona dell’impianto nella quale si lavorano grandi quantità di metallo fuso, si è formata una enorme fiammata e il metallo incandescente si è riversato fuori dai suoi contenitori, spandendosi nelle vicinanze in una luminosissima, rovente cascata di scintille.

L’incidente merita attenzione perché tutto indica che si sia trattato di un sabotaggio effettuato tramite un attacco informatico: un caso piuttosto raro di conseguenze molto concrete, e potenzialmente fatali, di crimine digitale che agisce direttamente sulle cose del mondo reale invece di limitarsi, si fa per dire, a cancellare e danneggiare dati.

L’attacco è stato rivendicato su Telegram e Twitter da un gruppo che si fa chiamare Predatory Sparrow (passero predatore). Il gruppo ha presentato come conferma i video tratti dalle telecamere di sorveglianza interna dell’acciaieria e ha anche pubblicato una ventina di gigabyte di dati che dice di aver trafugato da questa e altre due acciaierie iraniane che ha preso di mira. I media di stato iraniani hanno fornito conferme indirette degli attacchi, ma hanno dichiarato che non ci sarebbero stati danni alle linee di produzione (Cyberscoop.com).

L’idea che un attacco informatico possa causare la fuoriuscita di colate di metallo fuso dove lavorano gli operai è decisamente inquietante, ma non è la prima volta che ci sono conseguenze fisiche molto gravi a seguito di un’incursione digitale. 

Sempre in Iran, nel 2010, il malware Stuxnet danneggiò o distrusse le centrifughe dell’impianto di arricchimento dell’uranio di Natanz (come ho raccontato in dettaglio nel podcast del 9 luglio 2021). Nel 2014 l’autorità tedesca per la sicurezza informatica, la BSI, parlò di gravi danni a un’acciaieria nazionale causati da un attacco informatico basato sul phishing, senza però fornire molti dettagli. E nel 2015 in Ucraina un’azienda che gestiva la rete elettrica per la maggior parte del paese fu colpita da un attacco informatico che tolse la corrente a 200.000 persone per varie ore.

Questi attacchi così devastanti avvengono raramente, per fortuna, ma sono gli effetti più sensazionali di una tecnica di attacco molto diffusa ai danni delle industrie: quella che consiste nel prendere il controllo dei sistemi di comando remoto che gestiscono i grandi impianti e sabotarli in modo che questi impianti vadano in avaria o causino danni. 

I sistemi di controllo industriale sono sempre più diffusi, perché costano meno e sono più precisi rispetto a una squadra di addetti, che oltretutto spesso rischierebbero la propria incolumità, e perché a volte non c’è altro modo per comandare gli impianti: basti pensare ai macchinari che operano in condizioni che sarebbero fatali per un operatore umano o che sono difficilmente accessibili, come le pale eoliche o i ripetitori cellulari o radiotelevisivi in alta montagna. In questi casi il controllo remoto è indispensabile.

Il problema nasce quando questi sistemi di controllo remoto non sono ben protetti e vengono installati disinvoltamente, senza pensare troppo alle loro implicazioni di sicurezza. Infatti se un impianto è accessibile da remoto da parte dei suoi addetti, potrebbe essere accessibile tramite la stessa via anche da parte di malintenzionati. Questi sistemi di controllo sono spesso connessi via Internet, e molte aziende non si rendono conto che oggi esistono motori di ricerca appositi, come Shodan, Binaryedge, Zoomeye o Censys, che permettono a chiunque di trovare tipi specifici di dispositivi accessibili via Internet e di ottenere informazioni sul loro funzionamento. Questi motori di ricerca esistono per segnalare o prevenire violazioni di sicurezza, ma ovviamente sono utilizzabili anche per trovare bersagli per attacchi. 

Incidenti come quello iraniano sono spesso di matrice politica, e si sospetta che dietro il gruppo Predatory Sparrow ci sia un governo che lo appoggia o addirittura lo dirige. Questo sospetto è avvalorato, secondo alcuni addetti ai lavori, dal fatto che il gruppo è stato molto attento a causare la fiammata nell’acciaieria in un momento nel quale non c’erano addetti nelle vicinanze e ha ribadito questa sua attenzione nelle rivendicazioni, e questo tipo di scrupolo è caratteristico di organizzazioni che devono rispettare delle linee guida politiche o governative, per esempio per causare danni strategici senza essere viste negativamente perché hanno colpito degli innocenti.

Sia come sia, episodi drammatici come quello dell’acciaieria iraniana sono un rumoroso campanello d’allarme per qualunque azienda che abbia sistemi gestiti da remoto, in qualunque paese: è opportuno irrobustire le proprie difese, invece di fare quello che fanno molti, ossia usare semplicemente Teamviewer senza password perché tanto è comodo e si ritiene che se nessuno sa l’indirizzo IP dell’impianto nessuno lo troverà mai. Shodan esiste proprio per questo, e ho vissuto personalmente due casi nei quali un generatore elettrico italiano e una mini-centrale elettrica francese erano comandabili da remoto da chiunque, perché i loro gestori non si curavano della sicurezza. Non è stato uno spettacolo rincuorante.

E anche se pensate che la vostra azienda non sia nel mirino dei gruppi politici internazionali, esistono sempre il sottobosco del crimine informatico, che è ben contento di chiedere riscatti per non sabotare i vostri impianti, e anche il sotto-sottobosco, quello dei semplici vandali, quelli che causano sabotaggi for the lulz, ossia per puro, asociale divertimento. Forse è il caso di approfittare della pausa estiva per fermarsi un momento a ragionare sulle proprie procedure di accesso remoto e rinforzarle un pochino.

 

Fonti aggiuntive: BBC, The Cyberwire.

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili