Un test condotto da una società di sicurezza ha dimostrato quanto i sistemi di sicurezza industriali utilizzati da aziende di elettricità o del gas, siano mal protetti e possano cadere in mano agli hacker.
I ricercatori della Cybereason hanno creato una vera e propria trappola: hanno impostato dei computer per gestire le trasmissioni di luce di un importante fornitore di energia elettrica, lo hanno messo online per farlo trovare dai pirati informatici e analizzato le azioni degli aggressori.
La trappola, in gergo tecnico Honeypot, della Cybereason simulava un sistema di controllo industriale, insieme a un’interfaccia protetta da un firewall che collegava due centrali di energia elettrica e consentiva alle persone di scambiare i dati fra i due punti. Per attirare gli aggressori, i ricercatori hanno fatto in modo che il sistema presentasse vulnerabilità informatiche piuttosto comuni, come servizi di accesso remoto facilmente individuabili e password deboli – il tutto con un sistema che faceva sembrare che la rete appartenesse a un vero fornitore di energia elettrica.
L’honeypot è stato messo online il 17 luglio e ci sono voluti solo due giorni prima che un hacker cadesse nella trappola, individuandola mentre conduceva una ricerca su internet casuale. L’utente malintenzionato è riuscito a compromettere il sistema in modo tale da consentire l’accesso simultaneo a due utenti allo stesso tempo, in modo da continuare ad intervenire sul sistema anche senza autorizzazioni. Il pirata si è così intrufolato nella rete e ha installato strumenti dannosi che consentivano l’accesso e il controllo da remoto.
“L’hacker è stato in grado di compromettere un primo computer dell’honeypot e ha messo in vendita gli accessi in un mercato nero chiamato xDedic, insieme alle informazioni della rete colpita, indicando che si trattava di un grande fornitore di servizi,” ha spiegato il ricercatore Israele Barak della Cybereason CISO.
Di solito gli attacchi contro questo tipo di infrastrutture critiche sono spesso organizzati da gruppi finanziati dai governi per colpire paesi nemici, ma questo honeypot è stato scoperto da un gruppo di hacker privati, che volevano solo farci un po’ di soldi.
Alla fine sembra che la vendita sia andata a buon fine, perchè dopo una settimana di fermo, il 27 luglio un nuovo proprietario ha acceduto al sistema. I ricercatori hanno spiegato che questo nuovo intruso voleva modificare le impostazioni del sistema e il suo primo passo è stato disattivare i meccanismi di sicurezza. In questo modo gli esperti hanno potuto testare le abilità dell’hacker.
Per fortuna qualche errore, i pirati lo hanno commesso. “Sono stati troppo aggressivi nel tentativo di evitare il monitoraggio delle attività degli utenti. Hanno utilizzato l’account che hanno acquistato per disinstallare il software di sicurezza sul primo server compromesso. Questo non solo ha attirato immediatamente la nostra attenzione, ma attirerebbe l’attenzione di tutti i team di sicurezza “, ha spiegato Ross Rustici, senior director di Cybereason.
Non erano in grado di accedere completamente alla rete operativa, ma vi sono altri hacker ben più preparati che avrebbero potuto farlo. In altre parole, i sistemi di sicurezza delle grandi aziende di energia e gas sono estremamente vulnerabili e gli hacker hanno una intera rete pronta a sfruttarne le vulnerabilità.