Lo hanno ribattezzato Triton. È un malware in grado di manipolare e azzerare i sistemi di sicurezza industriali. Qualche giorno fa gli analisti di Fireeye, società specializzata in difese informatiche, hanno pubblicato un rapporto in cui individuano il virus, strutturato per interagire con i sistemi responsabili della sicurezza operativa industriale (Sis) a marchio Triconex. Il malware può attivare le difese di un impianto in maniera artificiosa, per bloccarne l’operatività, oppure alterare i parametri di sicurezza che i Sis monitorano, aumentando sensibilmente le possibilità che si verifichi un incidente imprevisto. Secondo i ricercatori, l’attacco è legato a uno Stato.
Indice degli argomenti
Il virus
I Sis sono sistemi inseriti negli impianti industriali per evitare incidenti e i danni conseguenti. Quando la situazione sfugge di mano, questi strumenti hanno il compito di attivare le difese e di salvaguardare la vita dei lavoratori, delle popolazioni circostanti, tutelare l’ambiente e l’impianto stesso. Fireeye ha svelato che Triton punta a mettere fuori uso queste contromisure nelle piattaforme Triconex. L’attacco è stato rilevato ad agosto in un’azienda non specificata, che secondo la Reuters si troverebbe in Medio Oriente. Secondo gli analisti il modus operandi si avvicina a quello tipico di attività russe, iraniane, nordcoreane e statunitensi. È simile a Stuxnet, scoperto nel 2010, o Industroyer, individuato nel 2016.
Il malware si è introdotto attraverso una postazione di lavoro Sis, su cui era installato Windows, e si è mascherato come applicazione legittima. A quel punto il virus è in grado di riprogrammare l’impianto dallo stesso pannello di controllo che dovrebbe salvaguardarlo. Quando gli hacker hanno tentato di colpire l’azienda obiettivo, il malware è stato scoperto e successivamente studiato.
L’attacco
Obiettivo di un malware di questo tipo non è tanto di rubare dati, quanto di compromettere l’attività di un impianto e di un’infrastruttura critica, come una rete energetica, mezzi di trasporti, sistemi di comunicazione. Inoltre, secondo gli analisti, l’hacker che maneggia un simile programma deve avere una “conoscenza specialistica di ingegneria, per comprendere i processi industriali” e per “manipolarli con successo”. Fireeye riconosce che il malware può provocare tre incidenti: bloccare un impianto, riprogrammarlo per azzerare i sistemi di sicurezza e, addirittura, creare una situazione di rischio artificiosamente, affinché le difese non intervengano e la situazione causi dei danni.
I consigli
I tecnici di Fireeye suggeriscono di operare la segregazione delle reti di sicurezza. In caso di presenza di dispositivi fisici per attivare i Sis, come nel caso di Triconex, non vanno lasciati nella funzione Program, cosa che ha permesso al malware di intrufolarsi nella rete. Inoltre invitano a verificare di continuo lo stato delle chiavi di accesso a queste reti e di monitorare il traffico dati per evidenziare attività sospette o anomale.
