Aggiornamenti recenti Giugno 16th, 2025 5:26 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Anubis, un nuovo ransomware che integra un wiper
- EchoLeak: è arrivata la prima vulnerabilità zero clic per le IA (Microsoft 365 Copilot)
- Smartwatch e attacchi acustici: nuova minaccia alle reti isolate
- Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
- Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
Contro il trojan Industroyer gli impianti industriali non hanno speranze
Il malware progettato per prendere di mira principalmente le infrastrutture di energia elettrica. Secondo alcuni analisti ci sarebbe lo zampino della Russia.
Potrebbe essere responsabile dell’attacco avvenuto alle centrali energetiche in Ucraina del dicembre 2016 e rappresenta un vero flagello per le infrastrutture industriali.
Come spiega in un dettagliato report di ESET (che ha battezzato il trojan con il nome di Industroyer) il malware è stato sviluppato da qualcuno che ha conoscenze approfondite dei sistemi di automazione industriali ed è in grado di sfruttare ben quattro protocolli ICS (Industrial Control System) diversi.
Nel dettaglio, Industroyer è composto da una serie di moduli che sono in grado di interfacciarsi con gli standard IEC 60870-5-101 (o IEC 101); IEC 60870-5-104 (o IEC 104); IEC 61850 e OLE for Process Control Data Access (OPC DA).
Il componente principale del malware è una backdoor per sistemi Windows che consente ai pirati informatici di controllare il malware da un server Command and Control attraverso una connessione HTTPS e che, in molti casi, utilizza il circuito Tor per nascondere le sue tracce.
Il codice del malware contiene anche una sorta di timer, che permette di pianificare gli orari in cui avverranno le comunicazioni tra il trojan e il server C&C, permettendo agli autori di Industroyer di concentrare le comunicazioni in orari non sospetti, come quelli che coincidono con l’attività produttiva.
Il malware consente ai pirati informatici di eseguire più o meno qualsiasi tipo di operazione, come avviare una shell, scaricare eseguibili e installare nuovi componenti.
Stando alla ricostruzione di ESET, nella prima fase dell’attacco l’obiettivo dei cyber-criminali è però sostanzialmente quello di acquisire i privilegi di amministratore ed “evolvere” il malware al suo secondo stadio in cui verrà eseguito come un Windows Service Program.
Definirlo un semplice malware è limitativo. Industroyer ha una struttura complessa e versatile, che gli permette di mettere KO qualsiasi tipo di sistema.
Industroyer, però, contiene anche una backdoor aggiuntiva, che è in pratica una versione del Blocco Note di Windows contenente un trojan. Il suo scopo è quello di consentire ai pirati l’accesso alla macchina nel caso in cui il modulo principale sia individuato ed eliminato.
Questa “backdoor di scorta” comunica con un server C&C diverso, in modo che anche l’eventuale individuazione del primo server non consenta alla vittima di bloccarne le comunicazioni.
La parte “distruttiva” viene invece gestita da un altro modulo, che i ricercatori di ESET hanno chiamato Launcher e la cui funzione è quella di caricare due diversi payload che vengono avviati sul sistema infetto.
Il primo payload viene scelto in base al tipo di bersaglio e allo standard utilizzato e viene caricato sotto forma di una DLL. Le versioni create dai pirati informatici sono quattro e consentono, in pratica, di ottenere l’accesso a tutti i dispositivi all’interno dell’infrastruttura e modificarne le impostazioni a loro piacimento.
Una volta scelto il payload più adatto per l’infrastruttura compromessa, il pirata informatico lo lancia usando il comando “Crash”.
Il secondo payload, invece, viene usato nell’ultima fase dell’attacco ed è un Data Wiper pensato per cancellare le tracce dell’attacco. Si tratta di un componente programmato per individuare tutti i file che possono contenere informazioni sull’infiltrazione e cancellarli, sovrascrivendoli con dati casuali.
Il Data Wiper, infine, termina tutti i processi di sistema a parte sé stesso, provocando quasi invariabilmente un crash della macchina. Dal momento che il modulo modifica anche il registro di sistema, il computer risulta impossibile da avviare.
I ricercatori di ESET hanno individuato però altri strumenti integrati in Industroyer, tra cui un port scanner “fatto in casa” e un modulo che consente di portare attacchi Denial of Service nei confronti dei dispositivi Siemens SIPROTEC.
Insomma: Industroyer ha un livello di complessità ed efficacia che fa pensare a tutto fuorché all’opera di un “freelance” in vena di esperimenti con i sistemi industriali. Dalle parti di ESET, però, preferiscono andarci con i piedi di piombo prima di attribuire a qualcuno (il governo russo?) la paternità di Industroyer.
Quello che è certo, è che il malware non ha nulla da invidiare a “colleghi” più celebri come Stuxnet e che la sua stessa esistenza dovrebbe far suonare un campanello di allarme riguardo il livello di sicurezza delle infrastrutture industriali sull’intero pianeta.
Condividi l'articolo
Kaspersky mette K.O. anche il ransomware Jaff
Windows sotto attacco. Valanga di aggiornamenti, compreso XP
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Anubis, un nuovo ransomware che integra un wiper I ricercatori di Trend Micro hanno individuato Anubis, un... -
EchoLeak: è arrivata la prima vulnerabilità zero clic per... Nel gennaio 2025, i ricercatori di Aim Labs hanno... -
Smartwatch e attacchi acustici: nuova minaccia alle reti... Le reti air-gapped, ovvero fisicamente separate da Internet... -
Microsoft rilascia patch per 67 bug, di cui uno già... Nell’aggiornamento di sicurezza di giugno Microsoft... -
Un bug di Google consentiva di scoprire il numero di... Di recente Google ha agito su un bug che consentiva...
Ransomware: la serie
No posts found.
