Cyber criminali

Dragonfly 2.0, cos’è che minaccia le nostre centrali elettriche?

di |

L’allerta va da una costa all’altra dell’Oceano Atlantico, ma al momento non sembra che gli attacchi abbiano provocato danni alle infrastrutture. Diverse le tecniche utilizzate dai cyber criminali e l’obiettivo è sempre violare le credenziali per il controllo dei sistemi.

Da ieri in tutto il mondo, specialmente in Europa e Stati Uniti, si è tornato a parlare di una vecchia minaccia informatica denominata “Dragonfly”. Un gruppo di cyber criminali, di non chiara provenienza, che da qualche anno tenta di introdursi in database aziendali per sottrarre dati sensibili e particolarmente riservati, si è presentato ancora una volta sulla scena informatica prendendo di mira le grandi aziende energetiche.

È di ieri la notizia che l’infezione, rinominata “Dragonfly 2.0” è di nuovo in circolazione e che stia attaccando le principali infrastrutture energetiche di molti Paesi occidentali, tra cui le centrali elettriche e, si teme negli Stati Uniti, anche quelle nucleari.

Strategie di attacco

I modi per penetrare le barriere erette a difesa di questi impianti sono diversi: email di spear phishing che imitano l’invio di un Curriculum vitae, attacchi watering hole per rubare le credenziali e quindi compromettere il network aziendale, software malevoli con all’interno trojan (virus per il controllo dei dispositivi elettronici, tra cui PC e smartphone), file di aggiornamento infettati, tecniche phishing e molto altro.

Come spiegano in una nota odierna i ricercatori di Kaspersky Lab: “gli attacchi volti al furto di credenziali sono stati tracciati da giugno 2017. Le nostre indagini indicano che i criminali hanno preso di mira diverse aziende energetiche negli Stati Uniti e in Europa”.

Chi c’è dietro?

Al momento non è chiaro se questi attacchi siano riusciti a fare breccia nelle infrastrutture gestite dalle utilities europee ed americane e non è chiaro neanche chi ci sia dietro. Il Report di Symantec, l’azienda che per prima ha individuato la nuova ondata di infezioni, non si sbilancia ancora e non dà molto credito ai codici rinvenuti negli attacchi scritti in francese e russo.

In fondo, a quanto si legge nel documento, si tratta comunque di strumenti molto diffusi, niente di particolare e di specifico, e i linguaggi utilizzati potrebbero essere specchietti per le allodole.

Le conseguenze degli attacchi

Se ad oggi non si registrano danni di una certa entità, non si deve certo abbassare la guardia. Vale sempre la lezione impartita dai cyber criminali in Ucraina nel 2015, quando un attacco di vaste proporzioni al settore energetico del Paese lasciò senza luce più di 250 mila persone (seguito poi da un altro attacco, certamente più limitato a Kiev l’anno successivo, ma più minaccioso perché legato ad un malware specificatamente sviluppato per colpire la rete elettrica di una città).

Dragonfly 2.0 è quindi di nuovo in azione e, secondo quanto riportato dall’agenzia Askanews, le prime indagini hanno rilevato che “i cyber criminali avrebbero ottenuto quello che viene chiamato ‘accesso operativo’, ovvero il controllo delle interfacce che gli ingegneri delle società elettriche utilizzano per inviare comandi effettivi ad attrezzature come gli interruttori, che possono fermare il flusso di elettricità nelle case di cittadini e imprese”.

Gli hacker sarebbero stati dunque ad un passo dall’interrompere, con gravissime conseguenze, il flusso di energia portato dalle infrastrutture critiche.

I ricercatori Kaspersky hanno rilevano la minaccia Dragonfly 2.0 nei seguenti modi:

Backdoor.Win32.Zapchast.aa

HackTool.Win32.Agent.agzf

HackTool.Win64.Agent.cp

HEUR:Trojan.MSOffice.Generic

HEUR:Trojan.Win32.Cometer.gen

HEUR:Trojan.Win32.Generic

HEUR:Trojan.Win64.Generic

Trojan.Win32.Agent.nexbeb

Trojan.Win32.Agentb.bwkq

Trojan.Win32.Agentb.bwmk

Trojan.Win32.Cometer.hm

Trojan.Win32.Cometer.wu

Trojan.Win32.Mucc.ajm

Trojan.Win32.Shelma.sqe

Trojan.Win32.Shelma.sqf

Trojan-Downloader.MSWord.Agent.bkk

Trojan-Downloader.MSWord.Agent.bkl

Trojan-Downloader.MSWord.Agent.bkm

Trojan-Downloader.MSWord.Agent.bkn

Trojan-Downloader.MSWord.Agent.blk

Trojan-Dropper.Win32.Scrop.tr”