La società di sicurezza Dragos ha rilasciato un rapporto il 1° marzo 2018 secondo cui le attività nocive di almeno cinque gruppi di hacker ad alto livello sono concentrate principalmente nel Sistema di controllo industriale (ICS).
Anche se è molto raro che un malware entri nei sistemi industriali, attacchi di questo genere stanno diventando più diffusi. Infatti la società Dragos sta continuando a monitorare i gruppi in questione che hanno direttamente attaccato i sistemi di controllo industriale o hanno mostrato interesse nel raccogliere informazioni rilevanti su tali obiettivi.
- Electrum
Una delle organizzazioni malintenzionate tracciate dalla Dragos è Electrum quando utilizzò il malware CRASHOVERRIDE / Industroyer nel dicembre 2016 per portare un massiccio blackout in Ucraina. Potrebbe esserci un collegamento tra Electrum e il Sandworm Team, che è ampiamente riconosciuto come il manipolatore dietro le quinte dell’interruzione dell’alimentazione 2015 in Ucraina. Il governo russo è accusato di essere coinvolto in questi due round di attacchi. Sebbene Electrum non abbia lanciato alcun attacco importante dal 2016, Dragos ha detto che è ancora attivo e che ci sono prove che ha ulteriormente ampliato il suo range di riferimento. -
Covellite
Un altro gruppo hacker e di interesse per Dragos è Covellite legato al famigerato gruppo della Lazzara nordcoreana. I ricercatori di Dragos hanno iniziato a osservare Covellite da settembre 2017, quando si stava concentrando su attacchi di phishing altamente mirati alle società statunitensi della rete. I ricercatori hanno successivamente scoperto che il gruppo potrebbe anche attaccare un certo numero di organizzazioni in Europa, Nord America e Asia orientale. A differenza di Electrum, Covellite non ha finora utilizzato alcun malware specifico per i sistemi industriali. - Dymalloy
Il rapporto Dragos contempla anche le attività di Dymalloy. Il gruppo Dymalloy nell’inchiesta sulle operazioni di Dragonfly è emerso gradualmente, noto anche come Crouching Yeti e Energetic Bear. La cosiddetta operazione Dragonfly è probabilmente una serie di attacchi offensivi effettuati da parte della Russia condi Havex, un malware ad alta complessità che rilevato di recente. Diverse società energetiche negli Stati Uniti hanno recentemente scoperto che i loro sistemi di controllo sono stati violati dalle operazioni Dragonfly. Dragos ritiene che Dymalloy non abbia alcuna connessione con Dragonfly (almeno non direttamente) perché i precedenti strumenti non sono avanzati come Havex. Tuttavia, gli hacker di Dymalloy sono riusciti a intromettersi in numerosi fornitori di sistemi di controllo industriale in Turchia, Europa e Nord America e hanno ottenuto l’accesso ai dispositivi HMI. Dymalloy sembra essere stata meno attiva in termini di attività dal 2017, probabilmente per evitare l’alta considerazione da parte dei ricercatori dei media e della sicurezza. - Chrysene
Le principali attività del gruppo sono in Nord America, Europa occidentale, Israele e Iraq, con particolare attenzione all’elettricità, petrolio, gas ed altre industrie. Chrysene è attualmente attivo e ha utilizzato una variante del framework dannoso associato a OilRig e Greenbug, un gruppo di spionaggio informatico iraniano. Dragos ha osservato che sebbene il malware di Chrysene abbia migliorato significativamente la sua funzionalità rispetto a strumenti simili usati da altri gruppi di minacce, non sembra che sia in circolazione o abbia colpito sistemi di controllo industriale. Tutte le sue attività sembrano finora concentrate su infiltrazioni IT e spionaggio di organizzazioni coinvolte nei sistemi di controllo industriale. “Vale la pena notare che il malware recentemente scoperto noto come Trisis / Triton è il primo strumento di minaccia specificamente progettato per sabotare un sistema strumentale di sicurezza (SIS).” - Magnallium
L’ultima organizzazione minacciosa che ha innescato la preoccupazione di Dragos per i sistemi di controllo industriale è stata la Magnallium, che ha anche legami con l’Iran. Dragos ha monitorato questo gruppo malevolo da quando FireEye ha rilasciato un rapporto sulle sue attività dannose utilizzando il codice APT33.
Sebbene alcuni resoconti dei media abbiano rilevato che gli obiettivi principali di APT33 si concentrano sui sistemi di controllo industriale e sui livelli di infrastruttura chiave, i risultati hanno dimostrato che l’organizzazione non sembra avere alcuna capacità di attacco nei confronti dei sistemi di controllo industriale. Dragos ha anche segnalato che mentre solo uno di questi gruppi hacker è stato in grado di influenzare le operazioni di rete tramite malware specifico per i sistemi di controllo industriale, tutti e cinque i gruppi sono stati comunque coinvolti almeno nelle attività di ricognizione e raccolta di informazioni relative all’ambiente del sistema di controllo industriale. La stabilità generale di questi gruppi nel corso del 2017 sarà probabilmente dovuta al fatto che alcuni degli incidenti di sicurezza che hanno avuto luogo devono ancora essere rilevati.
