Kaspersky indica i principali fattori che aumentano l’efficacia degli attacchi APT nel settore industriale

Kaspersky indica i principali fattori che aumentano l’efficacia degli attacchi APT nel settore industriale

Tra i fattori chiave che contribuiscono al successo degli attacchi delle Advanced Persistent Threat (APT) alle reti delle loro vittime vi sono: fattori umani, misure di sicurezza insufficienti, difficoltà ad effettuare gli aggiornamenti e la configurazione delle soluzioni di sicurezza informatica

Mancanza di isolamento delle reti OT

Nelle indagini in caso di incidenti, gli esperti di Kaspersky hanno spesso riscontrato carenze nel mantenere separate e sicure le reti Operational Technology (OT). Ad esempio, hanno trovato macchine, come engineering workstation, connesse sia alla rete normale sia a quella OT.

“In situazioni in cui l’isolamento della rete OT è garantito solo dalla configurazione delle apparecchiature di rete, è stato sperimentato che aggressori esperti possono semplicemente riconfigurare tali apparecchiature a proprio vantaggio,” – ha dichiarato Evgeny Goncharov, Head of Industrial Control Systems Cyber Emergency Response Team di Kaspersky. “Per esempio, possono trasformarle in server proxy per controllare il traffico di malware o addirittura utilizzarle per archiviare e distribuire malware a reti che si ritenevano essere isolate. Abbiamo assistito in molte occasioni ad azioni malevole come queste”.

Il fattore umano resta un fattore determinante nelle attività cybercriminali

Quando si concede l’accesso alle reti OT ai dipendenti o ai collaboratori, spesso le misure di sicurezza informatica vengono trascurate. Le utility di amministrazione remota come TeamViewer o Anydesk, inizialmente impostate temporaneamente, possono rimanere attive senza essere notate. In ogni caso, è essenziale ricordare che questi canali sono facilmente sfruttabili dagli aggressori. Nel 2023, Kaspersky ha indagato su un incidente in cui un collaboratore aveva tentato l’attacco, sfruttando l’accesso remoto alla rete ICS che gli era stato legittimamente concesso molti anni prima.

Questi episodi dimostrano l’importanza di considerare il fattore umano, poiché alcuni dipendenti, tendenzialmente insoddisfatti, potrebbero essere spinti da motivazioni lavorative, di retribuzione o per ragioni politiche, ad intraprendere azioni cybercriminali. Una soluzione possibile per essere protetti in situazioni simili può essere lo Zero Trust, ovvero il concetto che prevede di non fidarsi né dell’utente, né del dispositivo e né dell’applicazione interna al sistema. Diversamente da altre soluzioni Zero-Trust, Kaspersky estende l’approccio Zero Trust fino al livello del sistema operativo con le sue soluzioni basate su KasperskyOS.

Leggi anche:  Dell Technologies presenta soluzioni Zero Trust e di cybersicurezza che proteggono gli ambienti edge e multicloud

Protezione insufficiente degli asset OT

Durante l’analisi degli incidenti, gli esperti di Kaspersky hanno rilevato database delle soluzioni di sicurezza non aggiornati, codici di licenza mancanti, chiavi rimosse da parte dell’utente, componenti di sicurezza disabilitate, ed eccessive esclusioni dalla scansione e dalla protezione: tutti fattori che contribuiscono alla diffusione dei malware.

Ad esempio, se i database non sono aggiornati e una soluzione di sicurezza non può essere aggiornata automaticamente, questo può permettere alle minacce avanzate di propagarsi rapidamente e facilmente come negli attacchi APT, in cui chi crea le minacce sofisticate cerca di evitare di essere rintracciato.

Configurazioni non sicure di soluzioni di sicurezza

Configurazioni appropriate delle soluzioni di sicurezza sono indispensabili per prevenire la disabilitazione o addirittura l’abuso, una tattica spesso impiegata da gruppi/attori APT. In caso contrario si rischia che vengano rubate informazioni sulla rete delle vittime, memorizzate nella soluzione di sicurezza, così da accedere ad altre parti del sistema, o “muoversi lateralmente” come si dice nel linguaggio professionale di infosec.

Nel 2022, Kaspersky ICS CERT ha notato una nuova tendenza nelle tattiche APT, che fa sì che siano ancora più indispensabili configurare correttamente le soluzioni. Ad esempio, quando cercano modi per spostarsi lateralmente, gli aggressori non si fermano più all’hijacking dei sistemi IT critici, come i controller dei domini. Procedono verso l’obiettivo successivo: i server di amministrazione delle soluzioni di sicurezza.  Gli scopi sono vari: dall’inserimento dei malware in un elenco di programmi che non verranno sottoposti a controllo dagli strumenti del sistema di sicurezza, così da poterlo diffondere ad altri sistemi, anche a quelli che dovrebbero essere completamente separati dalla rete infetta.

Leggi anche:  Il 93% delle organizzazioni finanziarie in Italia ha subito un attacco informatico

L’assenza di soluzioni di cybersecurity a protezione delle reti OT

Può essere difficile da credere, ma in alcune reti OT, le soluzioni di sicurezza informatica non sono installate su molti endpoint. Anche se la rete OT è completamente separata da altre reti e non è connessa a Internet, gli aggressori hanno comunque modo di accedere. Ad esempio, possono creare versioni speciali di malware distribuite via driver rimovibili, come le USB.

Il problema degli aggiornamenti di sicurezza di workstation e server

I sistemi di controllo industriale hanno un funzionamento unico, per cui anche le operazioni più semplici come l’installazione di aggiornamenti di sicurezza su workstation e server hanno bisogno di essere verificate attentamente. Questi test spesso avvengono durante la manutenzione programmata e ciò fa sì che gli aggiornamenti siano poco frequenti. Questo dà agli attori delle minacce tutto il tempo necessario per sfruttare le debolezze e portare a termine i propri attacchi.

“In alcuni casi, l’aggiornamento del sistema operativo del server può richiedere un aggiornamento del software specializzato (come il SCADA server), che a sua potrebbe rendere necessario l’aggiornamento dell’apparecchiatura, il che può essere troppo costoso. Di conseguenza, nelle reti di sistemi di controllo industriale ci sono sistemi obsoleti,” prosegue Goncharov. “Sorprendentemente, in ambito industriale, anche sistemi connessi a Internet, che possono essere relativamente semplici da aggiornare, possono rimanere vulnerabili per molto tempo. Questo espone le tecnologie operative (OT) ad attacchi e a rischi seri, come hanno mostrato alcuni attacchi portati a termine”.

Ulteriori consigli sono pubblicati nel blog Kaspersky ICS CERT, come quelli relativi alla configurazione e impostazioni delle soluzioni di sicurezza, all’isolamento delle reti OT, alla protezione dei sistemi, l’utilizzo di OS, software obsoleti e firmware dei dispositivi non aggiornati. Per proteggere le aziende da minacce importanti, gli esperti di Kaspersky consigliano:

  • Se una società dispone di tecnologie operative (OT) o di infrastrutture critiche, assicurarsi che siano separate dalla rete aziendale o almeno che non vi siano connessioni non autorizzate.
  • Condurre regolari controlli della sicurezza dei sistemi OT per identificare ed eliminare ogni possibile vulnerabilità.
  • Stabilire un processo continuo di valutazione e di gestione delle vulnerabilità
  • Utilizzare soluzioni di monitoraggio, analisi e rilevamento del traffico della rete ICS per una migliore protezione dagli attacchi potenzialmente minacciosi per i processi tecnologici e i principali asset aziendali.
  • Assicurarsi che gli endpoint industriali siano protetti così come quelli aziendali. La soluzione Kaspersky Industrial CyberSecurity include una protezione dedicata agli endpoint e al monitoraggio delle reti per rilevare ogni attività potenzialmente sospetta e malevola nella rete industriale.
  • Per comprendere meglio i rischi associati alle vulnerabilità nelle soluzioni OT e per prendere decisioni consapevoli sulla loro mitigazione, raccomandiamo l’accesso a Kaspersky ICS Vulnerability Intelligence sotto forma di report consultabili o di feed di dati leggibili dalle macchine, a seconda delle competenze tecniche e delle necessità.
  • La formazione dedicata alla sicurezza ICS per i team di sicurezza informatica o per gli ingegneri OT è indispensabile per migliorare la risposta alle tecniche malevole nuove e avanzate.