Torna l'incubo di un attacco hacker capace di lasciare senza energia elettrica migliaia di persone. Un evento già accaduto in Ucraina e che potrebbe essere l'obiettivo dei cybercriminali che hanno infettato un numero imprecisato di aziende energetiche negli Usa, in Turchia e in Svizzera. I primi a comunicare l'attacco in corso sono stati gli esperti di Symantec. In base alle loro indicazioni, gli attaccanti avevano, potenzialmente, la capacità per interrompere l'erogazione dell'energia elettrica dalla centrali violate.
Dragonfly torna a volare
I ricercatori di Symantec ritengono che le modalità di attacco siano molto simili a quelle di una precedente azione condotta nel 2011. Un'analogia che ha fatto supporre un ritorno di Dragonfly, un gruppo di hacker che viene ricondotto, pur senza certezze, alla galassia russa.
Indipendentemente dai colpevoli, è opportuno focalizzarsi sulle modalità dell'attacco stesso che è in grado di sfruttare diversi vettori per accedere alle reti: invio di email malevole, software mascherati da applicazioni legittime ma che contengono trojan e watering hole.
Una nota su questo attacco arriva anche dai Kaspersky Lab, i cui tecnici stanno analizzando la situazione: “Kaspersky Lab conosce e continua a monitorare la minaccia nota come “Dragonfly 2.0”. Sebbene le informazioni fornite indichino un probabile forte legame con Dragonfly, stabiliremo l’attribuzione a uno specifico gruppo criminale una volta terminata l’analisi dei dati in nostro possesso”.
In particolare, secondo questi esperti, “il malware si diffonde attraverso email di spear phishing che imitano l’invio di un CV e attacchi watering hole” condotti, già da giugno 2017, per rubare le credenziali e compromettere il network aziendale.
Una lunga preparazione
Come sempre questi attacchi richiedono mesi di preparazione. Al punto che la prima traccia di attività sarebbe stata individuata in una email malevola inviata sotto forma di un invito a una festa per il Capodanno del 2015 a vari target del settore energia. Altre mail successive avevano contenuti legati a questa industria e, una volta aperto, come si legge nel documento diffuso da Symantec, l’allegato malevolo “tentava di far filtrare le credenziali di rete della vittima a un server esterno”.
Secondo Symantec, questa campagna del gruppo, ribattezzato Dragonfly 2.0, mostrerebbe come gli attaccanti siano entrati in una fase nuova, ottenendo un accesso tale da poter essere usato in futuro per sabotare e interrompere le attività. Tra gli elementi più preoccupanti l’azienda di sicurezza cita l’acquisizione di cattura schermo delle macchine infiltrate, alcune delle quali sembrano avere accesso a funzioni di controllo.
Ma le centrali sono al sicuro
Al momento non si registrano ancora disservizi e secondo Robert M. Lee, fondatore dell’azienda di cybersicurezza Dragos, specializzata nella protezione di sistemi industriali “nulla nel rapporto indica la capacità degli attaccanti di causare blackout”. Secondo l'esperto, infatti, pur trattandosi di una situazione preoccupante e che impone un'adeguata reazione, non ci sono prove del fatto che gli hacker siano effettivamente in grado di provocare blackout con questo attacco che, comunque, è stato in grado di violare le difese delle vittime.
