Gli hacker russi di Sandworm hanno preso di mira le reti elettriche negli Usa e in Europa per anni

Gli hacker russi di Sandworm hanno preso di mira le reti elettriche negli Usa e in Europa per anni

Il gruppo di intelligence militare russo noto come Sandworm da diversi anni esegue azioni di violazione della sicurezza di risorse infrastrutturali negli Stati Uniti e nei paesi alleati

di pubblicata il , alle 15:01 nel canale Sicurezza
 

Sandworm nel 2015 e nel 2016 è riuscita a innescare dei black-out di corrente elettrica in Ucraina che hanno non poco animato il dibattito pubblico circa la capacità dei sistemi informatici di intervenire all'interno di scenari di guerra. Stando a informazioni diffuse negli ultimi giorni, questo gruppo di hacker non si è assolutamente limitato a quello, e manterrebbe rapporti piuttosto stretti con altre realtà del mondo dell'hacking come Kamacite. Diverse società di sicurezza lo ritengono responsabile di azioni mirate a infrastrutture sensibili negli Stati Uniti e in Europa, con particolare riferimento alla rete elettrica. In altre termini, gli attacchi alle risorse civili perpetrati durante la guerra in Ucraina sarebbero perdurati anche fuori dal conflitto, e nei confronti di paesi diversi dall'Ucraina.

Gli attacchi alla rete elettrica riguardano anche l'Europa, e non solo gli Usa

In particolare Dragos ha pubblicato (fonte Wired) il suo rapporto annuale sullo stato della sicurezza dei sistemi di controllo industriale, in cui si menzionano quattro gruppi di hacker stranieri che sarebbero in azione su infrastrutture critiche. Secondo Dragos, tre di questi nuovi gruppi hanno preso di mira i sistemi di controllo automatico di infrastrutture legate al mondo dell'industria negli Stati Uniti, e non solo.

Ma l'aspetto che probabilmente merita maggiori attenzioni è quello legato al gruppo individuato come Kamacite, che la società di sicurezza descrive come partner strategico di Sandworm e del GRU, ovvero il servizio informazioni delle Forze armate russe. Secondo Dragos, già in passato Kamacite ha lavorato con Sandworm per fornire a quest'ultimo punti d'accesso a reti sensibili, permettendo di portare a compimento attacchi con effetti sensibili. I due gruppi agirebbero in sinergia, spartendosi i compiti di violazione dei sistemi informatici delle vittime. Dragos afferma che Kamacite ha ripetutamente preso di mira le società elettriche statunitensi, così come aziende che si occupano di petrolio, di gas e aziende industriali sin dal 2017.

Logo del GRU

Logo del GRU

"Operano continuamente contro entità elettriche statunitensi per cercare di mantenere una presenza all'interno delle loro reti" ha detto Sergio Caltagirone, VP Threat Intel di Dragos con un passato all'NSA e in Microsoft. Gli hacker legati alla Russia non sono mai arrivati a provocare black-out in nessuna parte degli Stati Uniti ma, avendo Kamacite lavorato con Sandworm quando è stata tolta l'energia elettrica prima a un quarto di milione di ucraini alla fine del 2015 e poi a una frazione della capitale di Kiev alla fine del 2016, la loro capacità di intromettersi nelle risorse infrastrutturali di altre nazioni dovrebbe destare preoccupazioni.

"È molto difficile che l'azione di Kamacite sia mirata solo alla raccolta di informazioni" ha detto ancora Caltagirone. "Questi attacchi di Kamacite sono pericolosi perché, grazie alle loro connessioni con entità come Sandworm, possono provocare effetti devastanti".

Secondo Dragos, a rischio non ci sarebbero solo gli Stati Uniti, ma anche altri paesi europei oltre all'Ucraina. Nel 2017, gruppi di hacker legati a queste organizzazioni hanno avviato una campagna di hacking ai danni del settore elettrico tedesco. Caltagirone aggiunge che la sua azienda ha registrato "un paio di intrusioni di successo tra il 2017 e il 2018 da parte di Kamacite in ambienti industriali dell'Europa occidentale".

L'azienda di cyber-sicurezza aggiunge che i principali strumenti di intrusione di Kamacite sono e-mail di spear-phishing con payload di malware con cui si è in grado di ottenere l'accesso ai servizi basati sul cloud di Microsoft come Office 365 e Active Directory, nonché alle reti private virtuali. Una volta che il gruppo ottiene l'accesso, sfrutta account utente validi per mantenere una presenza nella rete e usare strumenti di furto di credenziali come Mimikatz per ottenere dati e manipolare risorse.

Dragos, però, non ha certezze sul rapporto che intercorre tra Kamacite e Sandworm, già identificato dall'NSA e dal Dipartimento di Giustizia degli Stati Uniti come Unità 74455 del GRU. In passato sono state rilevate diverse identità che hanno collaborato a vari livelli con Sandworm, ma non è immediato distinguere i gruppi e stabilire quali sono i loro obiettivi. Se Kamacite è il gruppo specializzato nell'ottenere gli accessi, un altro gruppo conosciuto come Electrum sarebbe specializzato nello sviluppo dei payload di malware. Uno di questi, specificamente noto come Crash Override o Industroyer, è stato usato per gli attacchi alla rete elettrica ucraina nel 2015 e nel 2016. Dragos sospetta che questo malware possa anche disabilitare i sistemi di sicurezza e mandare in tilt gli apparati di rete.

Kamacite + Electrum = Sandworm

In altre parole, i gruppi che Dragos chiamano Kamacite ed Electrum costituiscono quello che altri ricercatori e agenzie governative chiamano Sandworm. "Un gruppo entra, l'altro gruppo sa cosa fare una volta ottenuto l'accesso", dice Caltagirone. "E quando operano separatamente, cosa che è successa stando alle nostre rilevazioni, vediamo chiaramente che nessuno dei due è molto bravo nel lavoro dell'altro".

Il rapporto di Dragos cita altri gruppi che avrebbero preso di mira risorse energetiche statunitensi ed europee. Il primo è Vanadinite, che sembra avere collegamenti con il gruppo di hacker cinesi noto come Winnti. In particolare, questo gruppo avrebbe usato il software noto come ColdLock per attacchi a Taiwan, puntando anche obiettivi energetici, di produzione e legati al mondo dei trasporti in tutto il mondo, inclusi Europa, Nord America e Australia, in alcuni casi sfruttando le vulnerabilità delle VPN.

Quello che Dragos chiama Talonite, invece, sembra aver preso di mira anche le aziende elettriche nordamericane, utilizzando e-mail di spear phishing contenenti malware identificato con il nome di Lookback, già identificato da Proofpoint nel 2019. Un altro gruppo che Dragos ha soprannominato Stibnite ha attaccato le risorse elettriche e siti di parchi eolici in Azerbaijan utilizzando siti Web di phishing e allegati e-mail dannosi.

Dragos non ha identificato attacchi da parte di questi gruppi nel 2020, ma sostiene che il fatto che stiano proliferando in numero è da considerarsi tendenza preoccupante. Caltagirone cita anche il caso di un'intrusione a un impianto di trattamento delle acque a Oldsmar, in Florida, all'inizio di questo mese, in cui un hacker ancora non identificato ha tentato di aumentare notevolmente i livelli di idrossido di sodio, molto pericoloso se rilasciato in valori elevati, vicino a una cittadina di 15 mila abitanti. Data la mancanza di protezioni su questo tipo di piccoli obiettivi infrastrutturali, un gruppo come Kamacite, sostiene Caltagirone, potrebbe facilmente innescare effetti diffusi e dannosi anche senza fare affidamento a un gruppo come Electrum.

Il numero di gruppi che prendono di mira i sistemi di controllo industriale è cresciuto notevolmente, conclude Dragos. "Stanno apparendo molti nuovi gruppi, mentre i precedenti rimangono in azione", dice Caltagirone. "In tre o quattro anni, sento che raggiungeremo un picco, e allora potrà diventare una catastrofe assoluta".

18 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
raxas27 Febbraio 2021, 15:05 #1
secondo me questi gruppi non hanno ancora vissuto episodi di bastonatùra come mai prima ci sono ancora stati...
Phantom II27 Febbraio 2021, 16:08 #2
Molto "atlantica" come velina non c'è che dire.
raxas27 Febbraio 2021, 16:13 #3
Originariamente inviato da: Phantom II
Molto "atlantica" come velina non c'è che dire.

cioè che se gli hacker di campo opposto vanno in russia saranno accolti con soddisfazione?
io penso di sì

ma al di là che un hacker (militare o meno) dell'est o dell'ovest si svegli, ogni mattino, e vada a perturbare i dati digitali:
a ovest, quello dell'est, e a est quello dell'ovest,
è meglio che comincino a correre prima che il bastone si posi infine su di loro
Phantom II27 Febbraio 2021, 16:26 #4
Originariamente inviato da: raxas
cioè che se gli hacker di campo opposto vanno in russia saranno accolti con soddisfazione?

No. Velina nel senso di propaganda (prodotta, viene da pensare, direttamente dalla penna di quelli che "yes, we scan") piuttosto che di informazione.
Sandro kensan27 Febbraio 2021, 17:07 #5
Originariamente inviato da: Phantom II
Molto "atlantica" come velina non c'è che dire.


Io evito di leggere queste notizie che sono propaganda in Stile mussoliniano o atlantico che è lo stesso. Comunque il mio commento lo piazzo comunque anche se le tre pagine di articolo non le ho lette. Ma poi vi pagano per pubblicare tre pagine che certamente non avete scritto voi?

I giornali saranno obbligati a pubblicare le veline atlantiste.
daitarn_327 Febbraio 2021, 19:46 #6
mentre gli USA di Biden comincia a bombardare la Siria senza permesso. La Russia si difende, gli USA con i suoi Stati "maggiordomo" Attacca ed invade militarmente a piacimento
rockroll27 Febbraio 2021, 23:29 #8
Originariamente inviato da: raxas
secondo me questi gruppi non hanno ancora vissuto episodi di bastonatùra come mai prima ci sono ancora stati...


Come può essere "molto atlantica" se mette in ridicolo la sicurezza delle infrastrutture occidentali ed esalta le capacità di attacco dei figli di Grande Madre Russia?

Che poi, dal fare del banale phishing al compromettere al limite del black-out reti elettriche, idriche, infrastrutture bancarie o addirittura militari, processi industriali, trasporti e quant'altro di interi stati (sovrani), ce ne passa davvero tanto.

Tuttavia continuo a chiedermi, informazioni e sopratutto processi relativi a tutte queste funzioni vitali devono per forza essere veicolati per internet, a disposizioni cani ed altri animali meno nobili che infestano la rete?

Per certe funzioni all'occorrenza andrebbero usate reti o meglio connessioni private, altro che la rete mondiale...
kamon28 Febbraio 2021, 23:44 #9
Una domanda probabilmente cretina ma proprio cretina... È assolutamente necessario i sistemi informatici delle reti elettriche, acquedotti ecc debbano essere necessariamente collegati e quindi controllabili via internet? Quale è la ragione vitale che necessita di questa cosa?
raxas28 Febbraio 2021, 23:57 #10
Originariamente inviato da: rockroll
...
Tuttavia continuo a chiedermi, informazioni e sopratutto processi relativi a tutte queste funzioni vitali devono per forza essere veicolati per internet, a disposizioni cani ed altri animali meno nobili che infestano la rete?

Per certe funzioni all'occorrenza andrebbero usate reti o meglio connessioni private, altro che la rete mondiale...

ma le connessioni private già esistono e con quali che siano metodi di autenticazione particolari, capisco che ci sia una diramazione verso capillari più piccoli ma possibile che non si riescano a proteggere in modo assoluto, facendo una gerarchizzazione degli accessi?
mah...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^