GreyEnergy, il malware che “spegne” le centrali elettriche: quale lezione per le aziende

Il nuovo potente malware APT GreyEnergy prende di mira centrali elettriche e infrastrutture critiche con lo scopo di mettere in ginocchio intere nazioni. Analizziamo le sue tecniche di attacco per adottare le necessarie misure tecniche difensive

26 Ott 2018

Si chiama GreyEnergy e, secondo un recente studio dei ricercatori ESET che hanno isolato il nuovo malware sotto osservazione già da tre anni, sarebbe il successore evoluto del famigerato APT BlackEnergy i cui strumenti malevoli furono utilizzati nella notte tra il 23 e il 24 dicembre del 2015 per causare il primo blackout della storia dovuto ad un attacco informatico.

In quell’occasione 230.000 ucraini rimasero improvvisamente al buio senza elettricità, ma l’incidente fu solo il primo di una serie di attacchi che negli ultimi tre anni hanno causato danni ingenti a diverse compagnie e società energetiche, reti elettriche nazionali e altri obiettivi di alto valore in Ucraina e Polonia.

APT: cosa sono e come mettono a rischio la sicurezza aziendale

Prima di analizzare il comportamento di GreyEnergy è utile ricordare che gli Advanced Persistent Threat (abbreviati in APT) rappresentano una delle forme più sofisticate di attacco informatico il cui obiettivo principale è quello di mettere a repentaglio la sicurezza aziendale. Si tratta, infatti, di una vera e propria strategia di attacco multilivello e multicanale sferrato partendo dall’identificazione di un network aziendale che, una volta preso di mira, viene minato in vari modi e su più fronti.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Gli hacker che conducono attacchi di tipo APT come BlackEnergy o GreyEnergy eseguono una serie di azioni malevoli che innanzitutto portano all’identificazione della rete aziendale scelta come bersaglio di una serie di azioni precise e mirate, volte a intaccarne in tutti i modi possibili i sistemi informatici. Le azioni includono la disseminazione di malware di ogni tipo e il furto delle identità: identificando le credenziali di accesso di dipendenti e poi quelle degli amministratori, gli hacker riescono di nascosto a installare una backdoor all’interno della rete aziendale, iniziando a intaccare ogni tipo di servizio.

Il particolare livello di sofisticazione che caratterizza gli attacchi APT e la difficoltà di rilevamento che li caratterizza, fanno sì che possano passare diversi mesi tra il momento della breccia iniziale e la sua scoperta e neutralizzazione.

GreyEnergy, l’APT creato per colpire le centrali elettriche

Come il suo predecessore BlackEnergy, di cui ne replica e migliora le tecniche già sofisticate di attacco, anche l’APT GreyEnergy è stato messo a punto con l’intenzione ben precisa di colpire e danneggiare le infrastrutture critiche di un’intera nazione.

A differenza di quanto successo con BlackEnergy, il gruppo di criminal hacker che sta dietro al nuovo APT GreyEnergy non sembrerebbe però essere interessato a mettere KO le centrali elettriche, quanto piuttosto al cyber spionaggio e alla ricognizione industriale, molto probabilmente in preparazione di futuri attacchi di cyber sabotaggio oppure per gettare le basi per un’operazione gestita da qualche altro gruppo APT (quando si parla genericamente di “gruppi APT” non ci si riferisce a gruppi di persone, ma alle connessioni basate su indicatori tecnici quali similarità del codice, infrastruttura C&C condivisa per il controllo e il comando da remoto, catene di esecuzione del malware e così via).

Tale ipotesi è avvalorata dall’analisi della struttura modulare del malware GreyEnergy che, a seconda dei sistemi designati come vittima, permette di attivare i moduli necessari per compiere le azioni malevoli: backdoor, estrazione di file riservati dalle macchine infettate, acquisizione di schermate, keylogging, furto di password e di credenziali e così via.

Nessuno di questi moduli è specifico per i sistemi di controllo industriale (ICS) delle infrastrutture critiche, ma le loro tracce sono state scoperte nelle workstation che eseguono software di controllo ICS e nei server SCADA, che solitamente sono sistemi indispensabili e che non dovrebbero mai essere spenti, se non per operazioni periodiche di manutenzione.

GreyEnergy e BlackEnergy: c’è dietro un’unica mente criminale?

Che gli ideatori di queste ultime minacce siano in qualche modo collegati tra di loro lo confermano alcune caratteristiche tecniche peculiari che in qualche modo riconducono alla stessa mente criminale.

Innanzitutto, l’inizio della diffusione di GreyEnergy coincide esattamente con la scomparsa di fatto dalla scena del cyber crimine di BlackEnergy. Suona particolarmente strano, poi, che una delle vittime di BlackEnergy lo sia stato a distanza di tempo anche di GreyEnergy. Quanto accaduto è giustificabile dal fatto che entrambi gli attacchi APT prendono di mira il settore energetico e le infrastrutture critiche, e poi che entrambi hanno colpito prima in Ucraina e poi anche in Polonia. Ma certo, le coincidenze creano non pochi sospetti.

Anche la struttura tecnica dei due malware è di tipo modulare ed entrambi utilizzano una backdoor con cui provano a rubare le credenziali di accesso ai sistemi colpiti prima di dare il via alla catena di infezione vera e propria.

Infine, tutti i server C&C di GreyEnergy utilizzati dai criminal hacker per il controllo e il comando da remoto dell’APT sono stati classificati come nodi ripetitori attivi della rete TOR. Uno stratagemma utilizzato dai criminali per nascondere al meglio le loro malefatte. Ma la stessa tecnica, guarda caso, è stata utilizzata anche per la diffusione di BlackEnergy e di Industroyer, un altro sofisticato framework di malware utilizzato per causare il blackout del dicembre 2016 sempre a danno dell’Ucraina.

Le analogie, comunque, finiscono qua: GreyEnergy è il rappresentante, se così si può dire, di una generazione successiva a quella di BlackEnergy, ancora più potente e pericolosa. Intanto, grazie ad una sofisticata tecnica stealth, GreyEnergy offre ulteriori potenzialità di offuscamento della sua catena infettiva. È vero che, come BlackEnergy, la nuova variante dell’APT è in grado di impiegare solo particolari moduli verso obiettivi selezionati e solo quando è necessario. Ma alcuni moduli di GreyEnergy vengono crittografati usando chiavi di codifica basate sull’algoritmo AES-256. Inoltre, alcuni codici malevoli del toolkit di GreyEnergy sono stati classificati come malware fileless: si tratta di una particolare famiglia di malware che non memorizza alcun file sull’hard disk della macchina infettata ma rimane in esecuzione solo in memoria con l’intenzione di ostacolare l’analisi e il rilevamento da parte di antivirus e software di controllo.

GreyEnergy e NotPetya: un connubio da paura

Per non farsi mancare niente, i creatori dell’APT GreyEnergy pare abbiamo avuto dei collegamenti anche con il gruppo criminale TeleBots che ha dato vita alla backdoor omonima. Nel corso del 2016, infatti, alcune varianti di GreyEnergy sono state utilizzate per distribuire la versione del worm NotPetya, prima che questo fosse modificato e trasformato nel pericolosissimo ransomware che tutti conosciamo (e la cui enorme diffusione è riconducibile proprio a TeleBots). Nel dettaglio, il modulo principale di GreyEnergy utilizzava praticamente il codice originale del worm NotPetya prima che fossero aggiunte le istruzioni in grado di sfruttare la vulnerabilità EternalBlue, che all’epoca non era ancora stata resa pubblica.

Ecco come funziona la catena infettiva di GreyEnergy

Molto simile a quella dei ransomware è anche la tecnica infettiva dell’APT GreyEnergy. In particolare, i ricercatori di sicurezza hanno osservato due diversi vettori di infezione: il classico spear phishing (campagne di phishing mirate verso gli indirizzi di un dominio di posta vittima dei criminal hacker) e la compromissione di server Web pubblici. Quando uno dei computer della rete target di GreyEnergy si collega a uno di questi server, immediatamente il codice malevolo tenta di spostarsi lateralmente su altre workstation. Oltre che come vettore di infezione primaria, l’APT utilizza questa tecnica anche per creare copie di backup di sé stesso per poi compromettere altre macchine.

Per passare inosservati ai controlli dei software di sicurezza, tutti i moduli di GreyEnergy sono stati firmati con un certificato digitale appartenente ad Advantech, un produttore taiwanese di hardware industriale e dispositivi IoT ai quali sono stati probabilmente rubati, proprio come avvenne nel caso di Stuxnet.

GreyEnergy: consigli utili per tutte le aziende

Anche se GreyEnergy prende di mira soltanto le centrali elettriche e le infrastrutture critiche, la sua analisi può essere molto utile per tutte le aziende suggerendo loro lezioni utili contro possibili infezioni.

Abbiamo detto che uno dei vettori di infezione dell’APT è lo spear phishing: vale quindi sempre la regola di sicurezza che non bisogna mai aprire allegati dei messaggi di posta elettronica di cui non conosciamo il mittente. E qualora lo conoscessimo, conviene sempre chiedere il supporto dei responsabili IT dell’azienda prima di effettuare il doppio clic sull’allegato: basta davvero poco, ad esempio, per avviare la catena infettiva di un ransomware e mettere così a rischio i preziosi dati aziendali e quindi gli asset produttivi veri e propri.

È poi importantissimo tenere sempre aggiornati non solo i software antivirus con le ultime firma virali, ma anche il sistema operativo e tutti i programmi utilizzati quotidianamente sul computer installando, appena disponibili, le patch rilasciate dai produttori. Ricordiamoci che minacce devastanti come NotPetya si sono diffuse proprio sfruttando una vulnerabilità di Windows.

Infine, è importante realizzare una corretta politica di security awareness tra i dipendenti in modo da tenere alto il loro livello di consapevolezza dei rischi che corrono effettuando operazioni non ammesse dalle politiche di sicurezza aziendali, avvisandoli periodicamente delle minacce in corso e utilizzando un team di esperti capace di monitorare e proteggere costantemente il perimetro “cyber” dell’azienda stessa.

Evento in presenza
SAP NOW, 20 ottobre | Sostenibilità e innovazione per un ecosistema digitale che rispetta il pianeta
Cloud
Datacenter
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr