Nelle scorse settimane si è parlato molto di Sandworm, in quanto è stato utilizzato per sferrare un attacco nei confronti della Nato. Una situazione che ha fatto pensare ad un’azione di tipo terroristico o polico. Al contrario, i laboratori di Trend Micro hanno scoperto che la vulnerabilità utilizzata da Sandworm è stata utilizzata anche per attacchi contro le organizzazioni industriali che utilizzano i sistemi Scada.
L’attacco è stato di tipo Apt (Advanced Persistent Threat) e utilizzando come esca una e-mail di spear phishing indirizzata verso i pc Windows che utilizzano la piattaforma GE Cimplicity HMI.
Le e-mail contenevano un allegato maligno che veniva aperto dall’applicazione Cimplicity e provava a sfruttare la vulnerabilità Sandworm in Microsoft Windows. L’obiettivo era scaricare il malware Black Energy, che permette di controllare completamente un sistema da remoto.
Il mittente per le mail di spear phishing era Oleh Tyahnybok, un politico ucraino dalle vedute chiaramente anti-russe.
Gli esperti dei laboratori di Trend Micro ricordano che le organizzazioni potenzialmente esposte a questi attacchi devono immediatamente implementare gli update Microsoft, che sono già stati rilasciati. Nel caso gli attacchi vadano a buon fine, gli effetti potrebbero essere ovviamente molto pericolosi, perché indirizzati a infrastrutture critiche.
É inoltre opportuno ribadire la necessità di dotarsi di adeguati e aggiornati sistemi di protezione, come quelli proposti dalla stessa Trend Micro, che sono in grado di intercettare i malware della famiglia Black Energy.
I laboratori di Trend Micro hanno scoperto che sono stati attaccati anche i sitemi di controllo industriale
