Ucraina, un gruppo di cybercriminali russi ha tentato un blackout

Secondo Cert-ua, Sandworm è penetrata nella società elettrica nel mese di febbraio, se non prima, anche se non è ancora chiaro come. Il gruppo, tuttavia, ha tentato di distribuire la nuova versione di Industroyer solo venerdì 8. I cybercriminali hanno anche diffuso diverse forme di malware di tipo wiper progettati per distruggere i dati presenti sui computer dell’azienda, tra cui un software che prende di mira Linux e i sistemi basati su Solaris, wiper di Windows più comuni e anche una porzione di codice noto come CaddyWiper, che era stato trovato all’interno delle banche ucraine nelle ultime settimane. Martedì 12 aprile Cert-ua ha comunicato di aver rilevato i wiper prima che potessero essere utilizzati: “Abbiamo avuto la fortuna di riuscire a rispondere a questo cyberattacco in modo tempestivo“, ha detto Zhora ai giornalisti durante una conferenza stampa.

Il malware originale di Sandworm, Industroyer, scoperto a seguito del cyberattacco alla società elettrica ucraina Ukrenergo nel dicembre del 2016, fu il primo caso in cui venne rilevato un malware capace di interagire direttamente con la strumentazione di una rete elettrica, con l’obiettivo di causare un blackout. Industroyer era in grado di inviare comandi agli interruttori automatici utilizzando uno qualsiasi dei quattro protocolli del sistema di controllo industriale, consentendo ai componenti modulari del codice di quei protocolli di essere scambiati in modo che il malware potesse essere poi riutilizzato per colpire altre aziende energetiche. Il malware includeva anche un componente per disattivare i dispositivi di sicurezza noti come relè di protezione – che interrompono automaticamente il flusso di energia quando rilevano condizioni di pericolo – una funzione che sembrava progettata per causare danni fisici potenzialmente catastrofici alle attrezzature della centrale di trasmissione una volta ripristinata la corrente.

Sandworm e la guerra cibernetica contro l’Ucraina

Sia Zhora che Eset sostengono che la nuova versione di Industroyer aveva la capacità di inviare comandi agli interruttori automatici per innescare un blackout, esattamente come la versione originale. Eset ha inoltre scoperto che il malware ero in grado di inviare comandi ai relè di protezione; gli analisti della società hanno individuato chiare analogie tra i componenti del nuovo Industroyer e la versione originale, inducendoli a ritenere che il nuovo malware sia stato creato dagli stessi autori. Non è ancora chiaro tuttavia cosa esattamente il nuovo tipo di malware sia in grado di fare.

A ogni modo, la comparsa di una nuova versione di Industroyer indica che i giorni degli attacchi alle reti elettriche da parte di Sandworm sono lontani dall’essere finiti, nonostante negli ultimi cinque anni il gruppo sembrava essere passato ad altre forme di attacchi – come nei casi di NotPetya, un malware distribuito nel 2017 e che ha causato danni per dieci miliardi di dollari tutto il mondo – del cyberattacco Olympic Destroyer alle Olimpiadi invernali del 2018, e di un attacco su larga scala che nel 2019 ha colpito siti ed emittenti televisive georgiane. “Il fatto che il gruppo utilizzi ancora questo strumento, usandolo contro i sistemi di controllo industriali è significativo – spiega capo della ricerca sulle minacce di Eset Jean-Ian Boutin –. Indica che stanno sviluppando strumenti per poter interferire in settori come l’elettricità e l’energia. Rappresenta senza dubbio una minaccia anche per altri paesi del mondo“.