I ricercatori di Eset avrebbero individuato il malware responsabile del blackout energetico in Ucraina nel 2016. Punta le infrastrutture industriali e può rappresentare un vero problema globale
Circa sette anni fa il mondo scopriva Stuxnet, il primo vero e proprio malware industriale, realizzato da USA e Israele per spiare le mosse della centrale di arricchimento di uranio a Natanz, di proprietà iraniana. Insediatosi all’interno dei sistemi di comunicazione, Stuxnet aveva il semplice compito di ottenere informazioni e portarle dall’altra parte della rete, dove gli alleati occidentali erano pronti a accogliere quanti più dati possibili sulle operazioni dell’Iran. Oggi la pericolosa minaccia ha un degno erede, conosciuto come Industroyer. Scovato dai ricercatori di Eset, il malware è in grado di attaccare grandi apparati e infrastrutture globali, come la centrale elettrica di Kiev che nel 2016 è stata privata della sua potenza, causando un blackout esteso, andato avanti per circa un’ora. Esistono elementi concreti che collegano Industroyer alla défaillance ucraina anche se gli esperti dell’azienda di cybersecurity tendono ad andarci cauti con le conferme, per evitare inutili inasprimenti di tensione qualora la fonte dell’attacco venisse ricondotta ad un’azione di Mosca.
Cosa succede
In un post sul blog ufficiale, Anton Cherepanov di Eset ha spiegato come il malware sfrutti, per insediarsi nei sistemi delle vittime, protocolli di comunicazione industriale come quelli che si trovano all’interno delle infrastrutture di fornitura energetica, nel mondo dei trasporti e in altri contesti critici. Il motivo? In questo modo gli aggressori possono arrivare direttamente al cuore degli apparati a cui mirano, fino agli interruttori che regolano la diffusione della corrente o del servizio gestito. Industroyer crea degli switch virtuali che sono l’esatta riproduzione di quelli analogici, così da agire in perfetta simbiosi con questi, di cui prendono il controllo. Diventa allora semplice mandare in tilt intere produzioni, sovraccaricando la distribuzione fino a causare un’escalation di failure e danneggiamenti. In un certo senso, è come lanciare un DDoS contro un portale, per renderlo inaccessibile. Al momento altre compagnie stanno studiando il virus per capire come renderlo innocuo in certi ambienti, anche se risulta davvero difficile circoscriverlo vista la sua natura espressamente versatile e adattiva.
