Gli Stati Uniti non sono stati colpiti da un cyberattacco paralizzante alle infrastrutture critiche come quello che ha messo fuori gioco l'Ucraina nel 2015. Quell'attacco ha messo fuori uso la rete elettrica ucraina, lasciando al buio più di 700.000 persone.
Ma le reti informatiche aziendali all'interno delle reti energetiche e dei servizi pubblici sono infiltrate da anni. In base a un'analisi del Dipartimento di Sicurezza Nazionale degli Stati Uniti (DHS) e dell'FBI, queste reti sono state compromesse almeno dal marzo 2016 da attori di Stati nazionali che svolgono attività di ricognizione alla ricerca di progetti e progetti di sistemi di controllo industriale (ICS) da rubare.
C'è una differenza tra gli attacchi che sondano le reti informatiche aziendali alla ricerca di informazioni e di accesso alle infrastrutture critiche e gli attacchi contro i sistemi ICS su cui operano le infrastrutture critiche. Le due cose sono interconnesse, ma le risorse prese di mira sono diverse.
Il NIST ha pubblicato una topologia astratta del sistema di fornitura di energia della rete elettrica, che mostra come il sistema di alimentazione (apparecchiature primarie) si interconnetta con i sistemi IT (gestione delle informazioni). La topologia evidenzia la crescente importanza e la scala delle reti IT aziendali nell'ambito dell'energia e delle utility, mentre il settore si orienta verso una comunicazione bidirezionale all'interno della smart grid, compreso l'uso di dispositivi IT e di comunicazione che combinano reti IoT e reti ICS.
All'interno di queste reti di gestione delle informazioni, i criminali informatici da anni testano e mappano gli attacchi contro le reti energetiche e dei servizi pubblici. Queste missioni di ricognizione, lente e silenziose, prevedono l'osservazione dei comportamenti degli operatori e la costruzione di un piano di attacco unico. L'attacco che ha messo fuori uso la rete elettrica ucraina nel 2015 sarebbe stato pianificato con molti mesi di anticipo da criminali informatici esperti e sofisticati.
Ciò sottolinea l'importanza di identificare gli aggressori nascosti all'interno delle reti IT aziendali prima che causino danni all'ICS e rubino informazioni relative all'infrastruttura critica. Il Vectra 2018 Spotlight Report on Energy and Utilities si concentra sui comportamenti unici delle minacce utilizzati nelle ultime campagne di attacco per rubare informazioni vitali ICS.
Questi e altri risultati chiave sottolineano l'importanza di rilevare i comportamenti nascosti delle minacce all'interno delle reti IT aziendali prima che i cyberattaccanti abbiano la possibilità di spiare, diffondere e rubare. Questi comportamenti rivelano che le campagne di attacco, accuratamente orchestrate, si svolgono nell'arco di molti mesi.
Quando gli aggressori si spostano lateralmente all'interno di una rete, espongono una superficie di attacco più ampia che aumenta il rischio di acquisizione ed esfiltrazione dei dati. È indispensabile monitorare tutto il traffico di rete per rilevare tempestivamente e costantemente questi e altri comportamenti degli aggressori.
Gli aggressori remoti si insediano tipicamente nelle reti di energia e di servizi pubblici, installando malware e facendo phishing per rubare le credenziali amministrative. Una volta entrati, utilizzano connessioni e protocolli amministrativi per effettuare ricognizioni e diffondersi lateralmente alla ricerca di dati riservati sui sistemi di controllo industriale.
L'abuso occulto di credenziali amministrative fornisce agli aggressori un accesso illimitato ai sistemi e ai dati delle infrastrutture critiche. Si tratta di una delle aree di rischio più cruciali nel ciclo di vita di un cyberattacco.
Altri risultati chiave del Rapporto Spotlight 2018 sull'energia e i servizi di pubblica utilità includono:
- Durante la fase di comando e controllo dell'attacco, sono stati rilevati 194 comportamenti di accesso remoto esterno ogni 10.000 dispositivi host e carichi di lavoro.
- Sono stati rilevati 314 comportamenti sospetti di esecuzione remota su 10.000 dispositivi host e carichi di lavoro.
- Nella fase di esfiltrazione del ciclo di vita del cyberattacco, sono stati rilevati 293 comportamenti di contrabbando di dati ogni 10.000 dispositivi host e carichi di lavoro.
È inoltre importante notare che gli aggressori hanno coperto le loro tracce per eludere i sistemi di allarme basati sui log. Gli account e le applicazioni utilizzati negli attacchi sono stati rimossi ed eliminati.
Ad esempio, i client VPN installati presso strutture commerciali sono stati eliminati insieme ai registri prodotti dal loro utilizzo. Solo grazie a un'analisi forense approfondita, il DHS è riuscito a determinare che gli attori delle minacce sono stati in grado di rimuovere le prove dopo che gli attacchi erano già riusciti.
Lezione imparata: Rilevare i primi segni di un attacco informatico nel momento stesso in cui si verifica, non dopo che il danno è stato fatto.