![\"Il](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/\/shutterstock-1988351474-300x169.jpg\" "\\"Immagine")
<\/p>\n<\/p>\n
Nel 2010, Stuxnet si rivela al mondo. All'epoca dell'attacco, il worm Stuxnet colp\u00ec il sistema automatico di controllo delle centrifughe in un impianto iraniano di arricchimento dell'uranio, mettendo in luce in modo eclatante la vulnerabilit\u00e0 degli ambienti industriali alle minacce informatiche. Ancor pi\u00f9 scioccante fu rendersi conto che l\u2019episodio era stato innescato da una semplice chiavetta USB, infetta, ampliando cos\u00ec la portata della minaccia a tutto il panorama industriale mondiale. Oltre dieci anni dopo, le infrastrutture di JBS Foods (settore agroalimentare) e Colonial Pipeline (settore energetico) sono state vittime di attacchi informatici che hanno compromesso le loro linee di produzione per settimane.<\/strong><\/p>\n Nel corso degli anni, il modus operandi dei pirati informatici si \u00e8 evoluto, sebbene fra i loro obiettivi principali rimangano sempre i sistemi di controllo degli impianti industriali. In questo articolo analizziamo l'impatto del worm Stuxnet nel 2010 e l'eredit\u00e0 che ha lasciato sia ai criminali informatici sia agli industriali.<\/p>\n <\/p>\n Cos'\u00e8 dunque Stuxnet?\u00a0Nel giugno 2010, questo worm \u00e8 stato rilevato su un computer appartenente a un dipendente della centrale nucleare di Bouchehr, in Iran. Il suo obiettivo era riprogrammare i robot industriali di marca Siemens, al fine di alterare il corretto funzionamento delle centrifughe e arrestare cos\u00ec il programma di arricchimento nucleare iraniano, all\u2019epoca in fase di sviluppo.<\/p>\n Responsabile di aver infettato 30.000 risorse informatiche in tutto il Paese, il worm \u00e8 stato successivamente rilevato in Germania, Francia, India e Indonesia, aumentando il numero di dispositivi compromessi fino a 45.000. Eppure, per sua stessa concezione, Stuxnet avrebbe dovuto essere un malware non rilevabile. Aveva infatti la capacit\u00e0 di analizzare le comunicazioni inviate ai PLC e di installarsi su un host attraverso uno spostamento laterale. Per raggiungere questo obiettivo, gli aggressori informatici avevano analizzato il meccanismo di funzionamento dei protocolli di comunicazione OT scoprendo lacune tecnologiche relative all'autenticazione. \"Nel loro attacco, i creatori di Stuxnet hanno sfruttato la mancanza di autenticazione e crittografia nel protocollo Siemens S7, nonch\u00e9 l'assenza di un controllo anti-replay\"<\/em>, spiega Marco Genovese<\/strong>, tecnico di prevendita ed esperto del settore presso Stormshield.\u00a0\"Questa vulnerabilit\u00e0 ha sollevato l'urgenza di introdurre un livello di sicurezza adeguato nei protocolli IoT. In risposta, \u00e8 stata sviluppata la seconda versione del protocollo, nota come S7 Plus. Ciononostante, molte imprese industriali utilizzano purtroppo ancora la versione 2010 del protocollo.\"<\/em>\u00a0Basato sull'utilizzo di una serie di vulnerabilit\u00e0 zero-day nel sistema operativo Windows e rivolto al sistema di supervisione, controllo e acquisizione dati (SCADA), questo attacco informatico \u00e8 stato ampiamente considerato come il primo tentativo di alterare il funzionamento di macchinari industriali in un ambiente altamente sicuro.<\/strong> All'epoca, compromettere un sistema di controllo industriale non connesso a Internet sembrava un compito estremamente complesso, dato che nel 2010 gli attacchi si concentravano principalmente su settori informatici pi\u00f9 convenzionali, dove l'accesso diretto a Internet era una caratteristica comune. Stuxnet \u00e8 stato il primo attacco conosciuto a prendere di mira gli ambienti IoT, evidenziando la possibilit\u00e0 che gli ambienti industriali potessero diventare vittime di tali minacce.<\/strong> Prima di questo episodio, la complessit\u00e0 dell'ambiente industriale e le difficolt\u00e0 di implementazione suggerivano che attaccare un obiettivo del genere non rappresentasse un investimento utile.<\/p>\n Inoltre, lo sviluppo del malware ha richiesto notevoli risorse finanziarie e umane per comprendere il funzionamento del programma di arricchimento nucleare iraniano e l'infrastruttura tecnologica di Siemens. Un impegno notevole, che ha permesso di sviluppare diversi livelli di compromissione, con l'obiettivo di raggiungere il PLC S7-300 responsabile dei controller di velocit\u00e0 delle centrifughe, nella catena di produzione. Per Ilias Sidqui<\/strong>, consulente senior di Wavestone, la complessit\u00e0 dell'attacco non lascia dubbi sulla sua attribuzione a un'autorit\u00e0 statale: \"Lo sviluppo di questo malware ha richiesto la realizzazione di un modello identico, con l'acquisto di attrezzature industriali molto costose e la conoscenza delle versioni delle macchine utilizzate in Iran. Questi parametri estremamente complessi suggeriscono chiaramente che solo uno o pi\u00f9 Stati avrebbero potuto avere le risorse e le competenze necessarie per uno sforzo di tale portata.\"<\/em>\u00a0Combinazione di diversi attacchi zero-day, compromissione di un sistema informatico tramite chiavetta USB, spostamento laterale, usurpazione dell'accesso di un amministratore, possibilit\u00e0 di riprogrammare un PLC... Senza rendersene conto, questo worm stava gettando le basi per una nuova complessit\u00e0 della criminalit\u00e0 informatica.<\/p>\n Nel raggiungere i propri obiettivi principali, Stuxnet ha segnato la storia della geopolitica. \"Bisogna riconoscere che c'\u00e8 stato un prima e un dopo Stuxnet. Anche gli alleati della NATO non si sono sbagliati quando, nel luglio 2016, al vertice di Varsavia, hanno riconosciuto il cyberspazio come campo di operazioni militari a s\u00e9 stante, proprio come la terra, il mare o il cielo\"<\/em>, afferma Fabien Miquet<\/strong>, Responsabile della Sicurezza dei Prodotti e delle Soluzioni presso Siemens. Tuttavia, questo worm ha lasciato un segno anche nella storia della sicurezza informatica, grazie ai suoi retaggi tecnologici e strategici, successivamente riutilizzati dai principali gruppi di aggressori per molti anni a venire.<\/p>\n <\/p>\n La dimostrazione della fattibilit\u00e0 di un attacco di questo tipo e la natura innovativa del modus operandi hanno inevitabilmente influenzato i criminali informatici del periodo successivo a Stuxnet. Dodici anni dopo la sua scoperta, il carattere tecnico e la difficolt\u00e0 di implementazione ne fanno ancora un caso da manuale.<\/strong> Come capostipite di una famiglia di malware sempre pi\u00f9 numerosa, sar\u00e0 per sempre ricordato come il primo worm dedicato alla compromissione dei sistemi di controllo industriale.<\/p>\n La sua capacit\u00e0 di infiltrarsi e compromettere un sistema altamente protetto ispirer\u00e0 tantissimi aggressori che cercheranno di emularlo nei mesi successivi, riproducendone e adattandone il codice per i loro scopi. Sebbene le tecniche e i vettori di attacco fossero diversi, l'obiettivo rimarr\u00e0 lo stesso in molti degli attacchi informatici che si susseguiranno in tutto il mondo: prendere di mira i sistemi di automazione industriale. Dalla Russia all'Iran, questi malware saranno classificati in una specifica categoria nota come \"Stuxnet-like\".<\/em><\/strong> Nel 2012, Saudi Aramco e RasGas subirono un attacco informatico attribuito allo Stato iraniano. Rispetto a Stuxnet era stata introdotta una innovazione: l'uso di un ransomware, in questo caso Shamoon, per paralizzare l'attivit\u00e0 di queste aziende. Nel 2013 venne compromesso il sistema di controllo delle chiuse della diga di Bowman, negli Stati Uniti. Secondo un'\u00a0inchiesta del\u00a0Wall Street Journal<\/em><\/a>, questo attacco fu una risposta delle autorit\u00e0 iraniane a Stuxnet. Nel 2015, fu la volta dei forni di un'acciaieria in Germania, anch'essa vittima di un attacco informatico. Definito dall'intelligence tedesca come un attacco \"Stuxnet-like\"<\/em>, i dettagli e il relativo impatto non saranno resi noti. Nello stesso periodo, anche l'Ucraina sub\u00ec diversi attacchi, questa volta mirati agli\u00a0impianti elettrici del Paese\u00a0rispettivamente con i malware \"Black Energy<\/em>\" e \"CrashOverride<\/em><\/a>\" nel 2015 e\u00a0\"Triton<\/em>\" nel 2017. Questi attacchi sono stati ricondotti alle azioni di gruppi di criminali informatici russi, ma soprattutto hanno evidenziato come la minaccia si stia evolvendo nel tempo. \"Se l'attacco Black Energy ha dimostrato la possibilit\u00e0 di danneggiare una centrale elettrica senza aver bisogno di particolari conoscenze di messaggi industriali, Triton ha evidenziato la vulnerabilit\u00e0 del sistema di protezione della rete IoT stessa\"<\/em>, spiega Marco Genovese.<\/p>\n Oltre agli attacchi informatici, il modus operandi di Stuxnet ha influenzato anche i ricercatori nell\u2019ambito della sicurezza informatica. Nel 2015,\u00a0alcuni ricercatori tedeschi hanno sviluppato un altro worm, chiamato PLC Blaster<\/a>, in grado di colpire l'ultima generazione di PLC della gamma Siemens S7, adottando parte dell'approccio di Stuxnet senza il collegamento di un host alla rete industriale. Il malware PLC Blaster infatti riesce ad attaccare i PLC direttamente tramite il protocollo TCP\/IP.\u00a0Presentato alla conferenza Black Hat USA<\/a>, l'esperimento ha messo in luce la vulnerabilit\u00e0 degli ambienti industriali e la facilit\u00e0 con cui questo worm pu\u00f2 diffondersi da un'apparecchiatura all'altra.<\/p>\n <\/p>\n Esiste la possibilit\u00e0 di un attacco simile oggi?<\/strong>\u00a0Una domanda pertinente, alla quale Ilias Sidqui risponde in modo diretto: \"Uno scenario di tipo Stuxnet \u00e8 ancora plausibile nel 2022. Questo perch\u00e9 il principio rimane lo stesso: le vulnerabilit\u00e0 zero-day sono e saranno sempre presenti, offrendo ai criminali informatici un vantaggio offensivo.\"<\/em>\u00a0Quindi un attacco \u00e8 ancora possibile, ma non pi\u00f9 necessariamente contro le industrie nucleari, spiega Marco Genovese: \"Al giorno d'oggi \u00e8 certamente pi\u00f9 difficile sferrare un attacco paragonabile a Stuxnet a una centrale nucleare, ma le ultime azioni in Ucraina dimostrano che ora \u00e8 possibile colpire le reti energetiche fisiche (acqua, gas, elettricit\u00e0).<\/em>\u00a0\u201c<\/p>\n Va inoltre sottolineato che gli ultimi attacchi informatici significativi non hanno utilizzato metodologie operative molto avanzate. Basti pensare a quelli perpetrati ai danni di Colonial Pipeline e JBS Foods, obiettivamente pi\u00f9 opportunistici che premeditati. Nel primo caso \u00e8 stata sfruttata una password trapelata sul darkweb e nel secondo una vulnerabilit\u00e0 nota in uno strumento di connessione remota, con un grado di difficolt\u00e0 in termini di penetrazione e implementazione di gran lunga inferiore a quello di Stuxnet. Questo perch\u00e9, di fatto, la superficie di attacco delle aziende industriali sta aumentando.<\/strong> Una tendenza che negli ultimi anni \u00e8 stata spronata dall'adozione della convergenza IT\/OT nei sistemi informatici.\u00a0Una manna dal cielo per i criminali informatici. \"Al giorno d'oggi, gli ambienti IT e gli uffici tradizionali sono interconnessi con gli ambienti OT industriali\"<\/em>, spiega Ilias Sidqui. \u201cSi tratta di un gateway utilizzato anche da gruppi di criminali informatici, per cui non sono pi\u00f9 necessari sviluppi specifici o ricerche di vulnerabilit\u00e0 zero-day. Ecco perch\u00e9 stiamo assistendo a un numero sempre maggiore di attacchi ransomware rivolti agli ambienti industriali.\"<\/em>\u00a0\u201cIn definitiva, la digitalizzazione accelerata crea opportunit\u00e0 per tutti: per voi, per me, per i nostri clienti... ma anche per gli aggressori dei nostri sistemi sempre pi\u00f9 connessi\"<\/em>, aggiunge Fabien Miquet. \u201cLungi dall'essere inevitabile, dobbiamo solo esserne consapevoli e abbiamo il dovere di lanciare l'allarme: non c'\u00e8 digitalizzazione senza sicurezza informatica!<\/em>\u201c<\/p>\n Ma in che misura il settore industriale \u00e8 pronto a far fronte a questa minaccia?<\/strong>\u00a0Secondo Gartner, il 60% degli attacchi che avranno successo nel 2020 si baser\u00e0 sullo sfruttamento di vulnerabilit\u00e0 note ma non patchate... Nel nostro barometro 2021 dedicato alla sicurezza informatica nelle reti operative, il 51% degli intervistati ha dichiarato di aver subito almeno un attacco, mentre il 27% ha gi\u00e0 subito un blocco o un'interruzione della produzione. Nonostante le soluzioni di protezione siano molteplici (rilevamento delle vulnerabilit\u00e0, gestione delle patch, segmentazione della rete, formazione, ecc.), sembra che si stiano scontrando con le difficolt\u00e0 di implementazione negli ambienti industriali. Lo conferma Fabien Miquet: \"\u00c8 una vera sfida mettere in sicurezza un impianto il cui scopo ultimo non \u00e8 sviluppare le proprie tecnologie, ma produrre in modo stabile e duraturo. Il fatto che queste tecnologie siano \"insecure by design\", ovvero il fatto che funzionino \u201cbene\u201d da trenta o quarant'anni ma non siano state progettate per implementare la sicurezza informatica, \u00e8 purtroppo una motivazione sufficiente per molti produttori odierni per non aggiornarle. Le mentalit\u00e0 aziendali non si evolvono tutte allo stesso ritmo, e ci\u00f2 dipende spesso dalla frequenza con cui si verificano gli attacchi informatici. In risposta a questi eventi, Siemens ha implementato nuovi meccanismi di protezione nelle sue macchine. Per raggiungere questo obiettivo, abbiamo introdotto nel nostro ambiente IT le migliori pratiche, ad esempio per quanto riguarda i nostri PLC, che ora utilizzano il protocollo di crittografia TLS, noto e riconosciuto per la sua robustezza.<\/em>\u201c<\/p>\n <\/p>\n Senza saperlo, gli autori dell'attacco Stuxnet del 2010 hanno influenzato notevolmente la complessit\u00e0 degli attacchi informatici negli ambienti OT. L'interconnessione tra i sistemi informatici e quelli operativi offre agli aggressori una maggiore superficie di attacco e la possibilit\u00e0 di spostarsi agilmente tra questi due ambienti. Sar\u00e0 interessante vedere come i responsabili OT si adatteranno nei prossimi anni per garantire la coesistenza del debito tecnico, di ambienti IoT e IT, dell'uso di nuove tecnologie e della sicurezza informatica. Tutto un programma!<\/p>\n","protected":false},"excerpt":{"rendered":" Nel 2010, Stuxnet si rivela al mondo. All’epoca dell’attacco, il worm Stuxnet colp\u00ec il sistema automatico di controllo delle centrifughe in un impianto iraniano di arricchimento dell’uranio, mettendo in luce in modo eclatante la vulnerabilit\u00e0 degli ambienti industriali alle minacce informatiche. Ancor pi\u00f9 scioccante fu…<\/p>\n","protected":false},"author":57,"featured_media":290869,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6624],"tags":[7277,13317],"business_size":[],"industry":[],"help_mefind":[],"features":[],"type_security":[],"maintenance":[],"offer":[],"administration_tools":[],"cloud_offers":[],"listing_product":[6661,6829,6828,6665,6637],"class_list":["post-510937","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-opinion-articles-it","tag-cybersecurity-primi-passi","tag-cybersicurezza-industriale","listing_product-breach-fighter-it","listing_product-sni20-it","listing_product-sni40-it","listing_product-ses-it","listing_product-sns-it"],"acf":[],"yoast_head":"\nStuxnet: l'incubo degli ambienti industriali<\/h2>\n
Gli eredi di Stuxnet<\/h2>\n
Stuxnet potrebbe ancora mietere vittime?<\/h2>\n