Menu

Malware: sempre più in pericolo anche le fabbriche di produzione industriale!

Malware: sempre più in pericolo anche le fabbriche di produzione industriale!

La pervasività del crimine informatico si estende ormai anche agli impianti industriali, sempre più governati da processi automatici che se attaccati rischiano di bloccare l'intera produzione. Un nuovo fronte sul quale occorre elevare barriere di difesa, sul quale Trend Micro e Siemens hanno avviato una nuova collaborazione.

L'attenzione sulle problematiche inerenti i pericoli generati dal Malware ai quali sono esposti i moderni ambienti di fabbrica sono divenuti concretamente tangibili quando esattamente un anno fa è stato pubblicato un Report dall'ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) statunitense in base al quale, a causa di una chiavetta USB che conteneva del Software infettato, due centrali nucleari si sono trovate con i propri sistemi di gestione della produzione contaminati, al punto che una delle due ha dovuto sospendere le attività per tre settimane. A rischio c'erano le centrifughe di arricchimento dell'uranio, troppo pericolose per non esser bonificate prima di continuare nel loro lavoro. Danni di mancata produzione incalcolabili, oltre al disagio nel dover coprire in emergenza le richieste di potenza elettrica in una vasta area del Paese.

Il punto è che dati gli elevati livelli di automazione che hanno raggiunto le fabbriche odierne, la loro stratificazione ed eterogeneità, creare dei sistemi di sicurezza risulta molto più complesso che nei puri sistemi gestionali o in quelli di automazione d'ufficio, con rischi estremamente più elevati sia sul piano economico che quello sociale.

La chiavetta incriminata, esaminata dai tecnici dell'ICS-CERT è risultata essere cruciale per il sistema di produzione in quanto ne conteneva la configurazione, ma che era stata colpita non sono da una, ma da tre forme di Malware diverse. Ripercorrendo le aree con le quali la chiavetta era entrata in contatto, è risultato che aveva già infettato varie Workstation, molte delle quali con ruoli critici per il controllo della produzione. E' così stato necessario avviare un processo di bonifica che è durato ben tre settimane.

La gravità del problema - e delle potenziali conseguenze - ha così attirato l'attenzione dei principali produttori di sistemi di sicurezza, primi tra tutti Kaspersky, che per il futuro si aspetta che le fabbriche possano divenire uno dei bersagli preferiti dei Cybercriminali, Symantec, F-Secure, Trend Micro e molti altri.

La complessità dei sistemi di automazione di fabbrica

Piramide-dei-livelli-di-automazione-di-fabbricaNell'interessante White Paper intitolato "Industrial Automation Security in Fieldbus and Field Device Level", Magnus Sundell, Jouko Orava e Janne Kuivalainen di Vacon Plc, Juhani Mäkelä e Arthur Gervais di Nixu Ltd, Mikko H. Hyppönen di F-Secure Corporation illustrano in modo sintetico l'architettura dei sistemi di fabbrica rappresentandola come la piramide stratificata illustrata qui a fianco, correlandola ai potenziali pericoli indotti dal Malware in corrispondenza di ciascun livello, ma concentrando l'attenzione unicamente sugli strati più bassi - Field Device e PLC - per poi sfiorare appena il livello superiore identificato come SCADA/DCS. 

Alla base del discorso c'è poi il pericolo rappresentato dalle comunicazioni Wireless, sempre più diffuse e comode da usarsi per regolare da remoto le attività, ma esposte ad una serie di altri rischi altrettanto pericolosi - se non di più - degli altri.

Dando un'occhiata alla piramide, in cima troviamo i classici sistemi ERP (Enterprise Resource Planning) destinati alla pianificazione e alla gestione delle attività, che oggi sono sempre più spesso integrati con quelli dedicati all'esecuzione delle operazioni produttive vere e proprie, detti MES (Manufacturing Execution Systems). Al terzo livello troviamo quindi i sistemi SCADA (Supervisory Control and Data Acquisition), o i DCS (Distributed Control System), che governano e monitorizzano lo svolgimento dei processi ed i flussi dei dati di produzione. Talvolta, i sistemi SCADA si interfacciano anche alle unità programmabili di automazione PLC (Programmable Logic Controllers), così come alle RTU (Remote Terminal Units). A loro volta, le apparecchiature PLC interagiscono con i sensori e gli attuatori distribuiti in tutta la fabbrica così da controllare in tempo reale lo svolgimento delle lavorazioni.

Tipologie di Malware

In estrema sintesi, per Malware si intendono i programmi deliberatamente creati per arrecare danni a chi li installa in modo più o meno consapevole. Le tre grandi famiglie nelle quali viene classificato il Malware sono: i Trojan Horse, gli Worm ed i Virus. Per "Trojan Horse", o Cavalli di Troia, si intende un programma che apparentemente fa una cosa, ma che in realtà - di nascosto - fa tutt'altro, arrecando danni al suo utente.

Gli Worm sono programmi auto-replicanti che si diffondono lungo le reti, spesso rimanendo nell'anonimato ma diffondendo "il male" che portano silentemente, per poi farlo esplodere in modo improvviso e talvolta letale.

I Virus sono i più noti, anch'essi normalmente capaci di replicarsi, ma capaci di generare dei danni di vario genere alla singola macchina infettata, senza però prenderne il controllo come invece spesso accade nei due casi precedenti. Questo stesso genere di Malware è quello ai quali si trovano esposti anche i sistemi di automazione industriale.Ad esempio, già nel 2009 il Worm Stuxnet ha colpito dapprima in sistemi Windows, per poi attaccare attraverso di esso anche i sistemi SCADA. E Stuxnet, che si diffonde principalmente attraverso le chiavette USB è proprio il genere di Malware responsabile dell'arresto della centrale nucleare di cui sopra. Il che vuol dire che il mezzo di propagazione, in questo caso, non è la rete Internet, ma l'utente che in modo inconsapevole usando una chiavetta infettata si trasforma nell'untore del sistema.

Nell'ottobre 2011 è poi stato scoperto Duqu, un parente stretto di Stuxnet ma con vocazione di Trojan Spy, confermando che l'intero settore dell'automazione industriale cominciava a divenire un bersaglio appetito dai CyberCriminali.

I PLC, talloni d’Achille degli impianti industriali

Come detto, i PLC - Programmable Logic Controller - sono dispositivi specializzati nel controllo dei processi industriali, eseguendo programmi che elaborano i segnali digitali e analogici provenienti da sensori e diretti agli attuatori presenti in un impianto industriale. La loro tipologia oggi include anche i PLC PC-based, ossia emulati a software, molto comodi da programmare e testare, ma in tal modo esposti agli attacchi dei Cybercriminali determinati ad arrecare danno alle loro vittime o profitti per sé stessi generando, ad esempio  fermi di produzione, da svincolare in seguito al pagamento di un riscatto. In tal caso, viene utilizzata una particolare categoria di DOS (Denial Of Service, blocco del servizio) o del più insidioso DDOS (Distributed DOS) che agisce tramite reti Internet. 

Anche i PLC classici non sono del tutto immuni da attacchi maligni, specialmente se di tipo vecchio, mentre quelli di ultima generazione sono considerabili come (abbastanza...) intrinsecamente sicuri, grazie all'impiego di “semafori” che fissano tre diverse modalità di accessi. Siemens inoltre provvede a rendere “trusted” anche i PLC tradizionali interponendo interfacce ad hoc di comunicazione da PLC a PLC.

Ma quando un impianto o l’intera fabbrica è, oggi, governata con programmi software centralizzati la sicurezza si fa più precaria. Così diventa basilare l’intervento di società come Trend Micro, in collaborazione con quelle che forniscono congegni e strumenti di automazione. Questi comprendono, oltre ai citati PLC anche i sistemi ICS (Industrial Control System) e le reti SCADA (Supervisory Control And Data Acquisition). Presenti in quasi tutti i settori manifatturieri, dall’industria automobilistica, al trasporto, dall’energia al trattamento delle acque, forniscono i dati necessari per la supervisione e il governo dei processi.

Minacce APT

Trend Micro, come d’altronde i principali Vendor concorrenti, vedono in prospettiva una pericolosa evoluzione di questi attacchi nella direzione degli APT (Advanced Persistent Threat), azioni malevole perpetrate ai danni di specifici enti o organizzazioni, volte a carpire dati, segreti commerciali e altro tramite accesso a sistemi informatici. Clamorosi, a questo proposito, i casi di RSA, Citibamk e Global Payments e significativa l’inchiesta in cui il 21% delle aziende intervistati ha segnalato di aver già subito un APT.

Aggressione-APTPer la difesa e prevenzione degli APT, area nella quale Trend Micro si è specializzata, l’approccio basato sulle firme (signature) non basta più in quanto gli attacchi di questo tipo risultano invisibili, agendo a livello di End Point, di Gateway o, persino, su reti locali o geografiche. La figura dà un’idea di come agisce un’aggressione mirata del genere APT, a partire da una fase di raccolta dati e sfruttando reti d’ogni tipo, Cloud incluso, per accedere ai Server e ai Database dell’ente o impresa da colpire.

I pilastri della protezione a tutto campo offerta da Trend Micro sono principalmente Deep Discovery e Deep Security, dedicati il primo alla scoperta, il secondo alla sicurezza ottenuta con articolate misure di prevenzione e di gestione oculata dei ruoli dei vari attori aziendali e conseguenti “policy”.

L’azione, coordinata, si esplica mediante un accurato monitoraggio del traffico di rete realizzata anche mediante tecnologie di Smart Protection Network, rivolte al mondo Cloud per tenerne sotto controllo i Big Data che lo caratterizzano. Qui parliamo dei tratti salienti di Deep Security. Si compone dei due moduli Inspector e Advisor che, come dice il nome di ciascuno, si occupano di ispezionare e, rispettivamente, combattere in modo anche preventivo attacchi mirati e APT, l’azione combinata di tale coppia si esercita contro Malware zero-day ed exploit di documenti, attività di rete, minacce web (drive-by-download), minacce e-mail (tipicamente con allegati di documenti Word o Excel dotati di macro virus a fini di phishing e spear phishing).

Accanto ai classici virus come Trojan e Word vengono contrastati gli insidiosi BOT, che sfruttano, diciamo a sbafo, come nodi di una rete VPN mondiale server e PC di utenti ignari per portare attacchi generali o mirati a malcapitate organizzazioni pubbliche o private. Deep Security Advisor, a quanto sembra opzionale, è formato da un Threat Analizer, un Thereat Intelligence Center e un Security Update Server, dei quali basti segnalare la tecnica preventiva del sandbox, entro la quale vengono isolati virus e simili di tipo sospetto emulandone il comportamento ma senza eseguirlo materialmente. E, diciamo noi, senza disturbare né interrompere l’operatività, esigenza palesemente primaria negli impianti industriali.

Due parole, infine, su Smart Protection Network, infrastruttura di protezione dei dati sul Cloud ovunque residenti. Le statistiche parlano chiaro: sulla nuvola ogni secondo viene lanciata una nuova minaccia da Cyber criminali per un totale di ben 30 milioni all’anno. La rete Smart Protection, quotidianamente, rileva e correla oltre 13 miliardi di Query per URL, e-Mail e File e analizza qualcosa come 6 Terabyte di informazioni su minacce di vario genere. La difesa esercitata da Trend Micro riesce a identificare e bloccare 200 milioni di minacce al giorno, almeno a quanto dichiara quest’agguerrita società

Dalla giungla delle sigle e dei toponimi sopra, e solo in parte, accennati qualcuno potrà cogliere un sentore di déjà-vu. Infatti anche altri fornitori rivali di sistemi anti-malware hanno in catalogo cose come APT, DOS e DDOS, reti BOT e tecniche preventive più o meno intelligenti. Un’eccezione (di cui ci stavamo dimenticando) è il TM Saphe Lock, originale tool anti-malware che risiede su una chiavetta USB e agisce senza installare nulla. Addirittura?! Provare per credere.

Ultima modifica ilGiovedì, 13 Febbraio 2014 09:11

Aggiungi commento


Codice di sicurezza
Aggiorna

Torna in alto