L’industria è sempre più nel mirino dei cybercriminali, ma il vero interrogativo riguarda le modalità con cui gli attacchi vengono condotti. Lo ha svelato un’indagine firmata da Trend Micro, multinazionale della sicurezza IT con sede in Giappone e con centri di ricerca in Asia, in Europa e in Nord America.
I passaggi fondamentali dello studio sono stati riassunti all’interno del report “Caught in the Act: Running a Realistic Factory Honeypot to Capture Real Threats“. Durata sei mesi, la ricerca ha evidenziato come le minacce non riguardino solo gli ambienti industriali sofisticati ma anche le realtà più piccole. «Pensare che le minacce informatiche ai sistemi di controllo industriale, ICS, riguardino solo quelle infrastrutture sofisticate che si trovano a livelli più alti della pubblica sicurezza è un errore frequente. La nostra indagine dimostra come gli attacchi colpiscano anche i sistemi più comuni», è stato il commento in merito del fornitore, attivo sui mercati da circa 30 anni.
La fabbrica smart è un’esca intelligente
In una fabbrica intelligente perfettamente funzionante, ogni processo deve iniziare e terminare con operazioni precise e continue del tutto integrate nelle linee di produzione. Tuttavia è proprio fra le pieghe dell’attività intensa di una smart factory che si nascondono le insidie perpetrate a opera dei cybercriminali. Per determinare il grado di consapevolezza e di ingegnosità di questi ultimi, l’azienda che con i suoi 6.500 addetti presidia 50 paesi nel mondo, ha sviluppato un prototipo altamente realistico e sofisticato in grado di replicare l’infrastruttura OT (Operational Technology) di una fabbrica, attirando così diversi attacchi capaci di colpire facilmente gli ambienti di produzione scarsamente sicuri; e identificando in questo modo il modus operandi degli hacker. Dalla concettualizzazione all’effettiva esecuzione lo honeypot (questo il nomignolo assegnato alla struttura: significa letteralmente vasetto di miele) è stato progettato per essere tanto realistico da rappresentare un bersaglio attraente per i (potenziali) criminali informatici.
Costituito da vero hardware ICS, oltre che da un insieme di host fisici e virtuali per simulare le attività aziendali, il sistema ha incluso anche autentici controlli logici programmabili (PLC); interfacce uomo-macchina (HMI); componenti robotici, workstation per la programmazione della produzione e file server. È stata quindi pensata una copertura per questa fabbrica falsa: una società di consulenza per la prototipazione rapida con dipendenti apparentemente reali, canali di contatto funzionanti e una base di clienti composta da grandi organizzazioni anonime provenienti da settori critici. Uno stratagemma rivelatosi efficace, come è stato dimostrato dalle diverse tipologie di tentativo di intrusione che lo honeypot ha attratto.
È (quasi) tutto vero
Durante il periodo di indagine, sono state rilevate attività malevole da parte dei cybercriminali ogni giorno crescenti, anche perché il sistema di sicurezza IT dello stabilimento-trappola aveva lasciato aperte alcune falle, piccole ma appetibili per rendere il tutto ancora più credibile. L’impianto fake è stato così caratterizzato da quelle consuetudini e approcci al tema security tipici tuttora di molte imprese, che espongono quotidianamente la propria struttura a molti rischi. La ricerca ha riportato dunque le decisioni e le azioni consapevoli intraprese da Trend Micro al fine di rendere le infrastrutture di fabbrica vulnerabili e invitare i pirati a prenderlo di mira. A tale scopo sono state concesse delle aperture per gli attacchi del genere di quelle che potrebbero essere realisticamente trovate nelle fabbriche intelligenti della realtà. Da questo le organizzazioni possono prendere spunto per rivalutare le loro difese e garantire l’adeguata protezione online delle attrezzature e dei componenti degli ICS aziendali.
Il sistema esca, prima compromesso per il mining di cryptovalute, poi colpito da due diversi attacchi ransomware e, infine, utilizzato per compiere frodi dirette ai consumatori, ha voluto presentarsi come un esempio cautelativo a beneficio delle imprese e in particolare di quelle che gestiscono ICS e smart factory, per accertare che siano implementate le adeguate misure di salvaguardia dei dati.
In definitiva, la sicurezza debole rende possibili gli attacchi informatici e incoraggia ulteriori violazioni alle dotazioni industriali che per lungo tempo hanno suscitato l’interesse dei cybercriminali.
di Alessandra Battaglioli
