Un’interruzione dell’alimentazione, delle infrastrutture e delle forniture a livello europeo può avere varie cause, come disastri naturali, errori umani o fluttuazioni della rete.
Nel 2006, diversi Paesi europei sono stati colpiti da un blackout dopo che due linee ad alta tensione sono state disattivate come previsto. L’interruzione è durata circa due ore, durante le quali milioni di famiglie sono rimaste senza elettricità.
Un evento del genere è una rarità in Europa.
Tuttavia, gli esperti concordano sul fatto che il rischio di un blackout causato da un attacco informatico mirato è aumentato notevolmente negli ultimi anni.
Un blackout a livello europeo è teoricamente ipotizzabile, anche se molto improbabile, perché le reti sono solitamente isolate l’una dall’altra con dispositivi di sicurezza adeguati in caso di malfunzionamento o di attacco informatico, al fine di limitare le rispettive interruzioni.
Nel raro caso, eccezionale, in cui l’infrastruttura venga attaccata in una vasta area a causa di un attacco informatico simultaneo a tutte le reti elettriche, sarebbe ipotizzabile un blackout a livello europeo.
Indice degli argomenti
Il ritorno del gruppo criminale Voltzite
Voltzite è un cyber threat group individuato mentre effettuava la ricognizione e l’enumerazione di diverse aziende elettriche statunitensi all’inizio del 2023, e da allora ha preso di mira i servizi di gestione delle emergenze, le telecomunicazioni, i servizi satellitari e le basi industriali della difesa.
Recentemente ha preso di mira anche le organizzazioni di trasmissione e distribuzione elettrica nei paesi africani.
Le aree e gli obiettivi della cyber gang Voltzite sono:
- Settore elettrico, satellite, telecomunicazioni, gestione delle emergenze e basi industriali della difesa.
- Obiettivo le reti negli Stati Uniti e in Africa.
- Conduce una ricognizione lenta e costante contro un obiettivo.
- Utilizza prevalentemente tecniche di Living off the Land (LOTL) e mostra un alto livello di pratiche di sicurezza operativa.
- Utilizza varie web shell e FRP, uno strumento di reverse proxy veloce, per le comunicazioni di comando e controllo (C2).
- Il traffico C2 rimanda spesso ad apparecchiature di rete SOHO (Small Office and Home Office) compromesse o a infrastrutture VPS (Virtual Private Server) affittate dall’avversario.
- Utilizza strumenti open-source e shell web.
- Sfrutta il furto di credenziali per facilitare il movimento laterale.
- Si sovrappone a più gruppi di minacce: Volt Typhoon (Microsoft), BRONZE SILHOUETTE (Secureworks), Vanguard Panda (Crowdstrike) e UNC3236 (Mandiant).
- Questi gruppi hanno tracciato cluster di attività che risalgono al 2021.
Compromissione di un’azienda idrica ed elettrica statunitense
All’inizio del 2023, il cyber threat group Voltzite ha compromesso un’azienda idrica ed elettrica statunitense e ha esfiltrato informazioni sensibili. Questi dati comprendevano dettagli sui processi operativi, configurazioni di risorse tecnologiche operative (OT), dati del sistema informativo geografico (GIS), configurazioni del sistema SCADA ed elenchi di clienti critici.
Alla fine del 2023, l’azienda ha adottato misure di sicurezza per rafforzare la propria sicurezza informatica. Ha implementato una piattaforma per monitorare e proteggere il traffico di rete IT-OT ai livelli 3-4 e le comunicazioni OT-OT al livello 2. Inoltre, l’azienda ha implementato un sistema OT in un progetto di sicurezza informatica e il dip. utility ha ingaggiato un team di threat hunters industriali per identificare e neutralizzare le persistent threats.
Da attente analisi si è avuto conferma che le azioni di Voltzite si trovavano nelle immediate vicinanze dell’impianto di distribuzione.
La piattaforma ha identificato inoltre manovre di attraversamento del server message block (SMB) e movimenti laterali del protocollo desktop remoto (RDP), che illustrano la strategia di Voltzite di navigare e muoversi all’interno della rete per accedere ai dati OT. L’indagine ha rilevato che Voltzite si è concentrato sull’accesso e l’esfiltrazione di documenti e dati sensibili, fondamentali per le operazioni critiche dell’azienda elettrica.
La compromissione iniziale, la rapida esfiltrazione dei dati e la vicinanza alla rete OT, seguite dal ritorno di Voltzite alla rete mesi dopo, evidenziano l’intenzione di mantenere una persistenza a lungo termine nelle reti di interesse per azioni successive in futuro.
L’impiego di tecniche di “Living Off The Land” (LOTL) e di riutilizzo delle credenziali da parte di Voltzite, insieme a una ricognizione lenta e costante, consente al gruppo di evitare di essere scoperto.
È improbabile che l’attività di Voltzite venga rilevata dai metodi di rilevamento tradizionali.
Questa strategia consente al gruppo di allungare il tempo di permanenza all’interno della rete. È fortemente raccomandato il monitoraggio delle comunicazioni cross-zone tra reti IT e OT e l’utilizzo di rilevamenti comportamentali studiati per identificare le più recenti tattiche, tecniche e procedure (TTP) e gli indicatori di compromissione (IOC) di Voltzite.
Tattiche, tecniche e procedure di movimento laterale
Voltzite ha mostrato diverse tecniche di accesso alle credenziali e di movimento laterale una volta all’interno di una rete. La prima tecnica osservata è l’uso di csvde.exe, un binario nativo di Windows utilizzato per importare ed esportare dati da Active Directory Domain Services utilizzando il formato di file csv (comma-separated values). Vengono altresì impiegate tecniche di offuscamento.
La seconda tecnica osservata per rubare le credenziali per il movimento laterale è l’utilizzo delle Copie Volume Shadow e l’estrazione del database NTDS.dit di Active Directory da un controller di dominio. Le Volume Shadow Copies sono immagini clonate del sistema operativo che possono essere utilizzate come backup o punti di ripristino per consentire all’amministratore di eseguire il rollback di un computer Windows in caso di problemi successivi con il sistema operativo.
Il database NTDS.dit, memorizzato sui controller di dominio, è di fatto il database alla base di tutte le informazioni di Active Directory relative agli account utente, ai gruppi, ai computer e, soprattutto, agli hash delle password degli utenti.
In circostanze normali, il file NTDS.dit non può essere aperto o copiato perché è utilizzato da Active Directory sul computer. Per aggirare questa protezione, gli avversari utilizzano comunemente il Volume Shadow Copy Service per creare un’immagine clonata del sistema operativo e salvarla su un disco.
Quindi, il gruppo può esfiltrare la copia di NTDS.dit che risiede nella copia shadow senza problemi, poiché quella versione del file non è utilizzata da alcun processo.
Una volta che il database NTDS.dit è tornato sul computer del malintenzionato, questi può eseguire il cracking dell’hash o tornare sul computer della vittima e utilizzare tecniche di “passaggio dell’hash” per autenticarsi come utente.
L’infrastruttura criminale di Voltzite
Voltzite utilizza strumenti minimi e preferisce condurre le proprie operazioni con un’impronta il più possibile ridotta, da qui la sua predilezione per le tecniche LOTL. Tuttavia, è stato osservato l’utilizzo dello strumento FRP reverse proxy e diverse web shell.
FRP è un proxy che consente di esporre una macchina dietro un firewall o una rete che mappa più indirizzi IP privati in un indirizzo pubblico tramite Network Address Translation (NAT). L’FRP può essere utilizzato per convogliare i dati direttamente a un server di comando e controllo, senza seguire i consueti punti di uscita da una rete.
Voltzite ha compilato binari FRP e li ha utilizzati come meccanismo di comando e controllo in alcuni dei suoi attacchi. Ha utilizzato principalmente web shell basate sulla web shell Awen. le sue web shell portano principalmente a tecniche LOTL da utilizzare come azioni successive.
Una volta infiltratosi in una rete tramite un punto di accesso iniziale e quindi distribuendo una web shell, l’azione successiva più comune è che l’avversario familiarizzi con l’ambiente in cui si trova eseguendo strumenti nativi di Windows come “whoami” o “tasklist”.
Voltzite ha anche fatto un uso massiccio di tecniche LOTL. Di seguito alcuni degli strumenti Windows utilizzati dalla cyber gang:
Impatto sui sistemi di controllo industriale (ICS)
Finora sono state osservate solo operazioni che hanno raggiunto la fase 1 della ICS “Cyber Kill Chain”. Non hanno ancora mostrato azioni o capacità progettate per interrompere, degradare o distruggere asset o operazioni ICS/OT.
Tuttavia, il loro obiettivo persistente di entità infrastrutturali critiche e le capacità osservate potrebbero contribuire allo sviluppo di uno strumento di interruzione in grado di gestire le ICS.
Voltzite al momento ha mostrato un interesse costante per i settori dell’elettricità e delle telecomunicazioni negli Stati Uniti. Ciò è dimostrato da una lenta e costante ricognizione a lungo termine e dall’enumerazione di più entità elettriche.
Se Voltzite riesce a stabilire un punto d’appoggio iniziale sul perimetro della rete di un obiettivo, può essere in grado di penetrare ulteriormente nella rete informatica della vittima. Una volta stabilito l’accesso, conduce attività di spionaggio con tecniche LOTL per tentare di eludere il rilevamento.
Se non è implementata una corretta segmentazione di rete tra le reti IT e quelle di tecnologia operativa (OT) di una vittima, Voltzite può spostarsi lateralmente nelle reti OT per eseguire l’enumerazione e l’esfiltrazione dei dati operativi OT critici, come i dati SCADA, le configurazioni dei dispositivi OT, i dati storici, i dati dei sistemi informativi geografici (GIS) e altri ancora.
Raccomandazioni per proteggersi da simili minacce
Considerando il rischio e le minacce correlate, si raccomanda alle organizzazioni di implementare i cinque controlli critici per una cybersecurity OT di classe mondiale identificati dal SANS Institute, che presenta un quadro per l’implementazione di un programma di cybersecurity per difendersi dalle attività avversarie dirette contro le reti OT, che si tratti di furto di proprietà intellettuale, ransomware o effetti cyber-fisici mirati.
Un primo passo per l’implementazione di questi controlli è il raggiungimento di un allineamento a livello esecutivo sul ruolo e l’importanza della cybersecurity OT e sui rischi specifici da cui un programma di cybersecurity OT è destinato a difendersi, se non ben compreso.
Un modo potenziale per ottenere l’allineamento organizzativo è quello di collegare lo sforzo a scenari reali.
Le informazioni di cui sopra delineano chiaramente le capacità sviluppate per l’avversario e i loro impatti previsti.
Questo dettaglio può essere determinante per capire come le capacità potrebbero avere un impatto su una determinata rete, le potenziali implicazioni operative e commerciali e i passi necessari per difendersi e rimediare ai potenziali effetti.
Tradurre i rischi informatici nell’impatto sulle operazioni e sulle funzioni di un’organizzazione può aiutare gli stakeholder esecutivi a impegnarsi sul tema della cybersecurity OT.
Una volta che un’organizzazione riesce a ottenere un allineamento a livello esecutivo e di Consiglio di amministrazione sull’importanza di investire nella sicurezza informatica OT, si pongono le basi per l’implementazione dei cinque controlli critici per la sicurezza informatica OT, illustrati di seguito:
- Risposta agli incidenti ICS. Piano di risposta agli incidenti (IR) basato sulle operazioni e incentrato sull’integrità del sistema e sulle capacità di recupero durante un attacco, esercitazioni progettate per rafforzare gli scenari di rischio e i casi d’uso adattati all’ambiente ICS.
- Architettura difendibile. Architetture che supportano la visibilità, la raccolta dei log, l’identificazione degli asset, la segmentazione, le DMZ (Demilitarized Zones) industriali e l’applicazione dei processi di comunicazione.
- Monitoraggio della visibilità della rete IC. Monitoraggio continuo della sicurezza di rete dell’ambiente ICS con set di strumenti consapevoli dei protocolli e capacità di analisi dell’interazione tra sistemi, utilizzati per informare le operazioni sui potenziali rischi per il controllo.
- Accesso remoto sicuro. Identificazione e inventario di tutti i punti di accesso remoto e degli ambienti di destinazione consentiti, accesso su richiesta e autenticazione a più fattori (MFA), ove possibile, salto degli ambienti host per fornire punti di controllo e monitoraggio all’interno del segmento sicuro.
- Gestione delle vulnerabilità basata sul rischio. Comprensione dei controlli cibernetici digitali in atto e delle condizioni operative dei dispositivi che aiutano a prendere decisioni di gestione delle vulnerabilità basate sul rischio per applicare patch alla vulnerabilità, attenuarne l’impatto o monitorarne il possibile sfruttamento.
Conclusioni
La digitalizzazione coinvolge l’intera industria elettrica e tutti gli altri settori economici. Il collegamento in rete digitale consente di adottare misure di sicurezza molto più rapide e veloci e, soprattutto, di integrare in futuro tutti gli stakeholder del sistema elettrico attraverso piattaforme digitali.
È quindi necessario implementare costantemente un gran numero di misure di sicurezza nell’ambito dei cyberattacchi a vari livelli dell’azienda. Soprattutto, questo include il controllo permanente delle piattaforme digitali per individuare potenziali vulnerabilità.
Questo cyber threat group rappresenta una minaccia reale per gli operatori di infrastrutture critiche non solo negli Stati Uniti. Si concentra fortemente sull’elusione del rilevamento e sull’accesso persistente a lungo termine, con l’intento dichiarato di spionaggio a lungo termine e di esfiltrazione dei dati.
Si raccomanda alle organizzazioni industriali di mettere in atto tutti i potenziali meccanismi di rilevamento delle tecniche LOTL, con particolare attenzione alle strategie di rilevamento delle minacce basate su anomalie e comportamenti.