Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

USB-Borne Malware, la minaccia via USB per i sistemi industriali: cos’è e come difendersi

Una delle principali minacce alla sicurezza informatica per una vasta gamma di reti di controllo dei processi industriali è ancora rappresentata dai dispositivi USB rimovibili utilizzati per la diffusione di malware di ogni genere. Ecco un’analisi degli attacchi USB-Borne Malware

13 Nov 2018

Paolo Tarsitano


Dispositivi USB rimovibili, come le unità flash drive, utilizzate per la diffusione di malware di ogni genere. Anche in azienda. È un problema ancora molto importante, come si evince dall’ultima ricerca pubblicata dai laboratori di ricerca della HoneyWell. Tecnicamente, si chiama Usb-Born Malware.

In particolare, i ricercatori hanno analizzato i dati raccolti mediante il Secure Media Exchange (SMX) di HoneyWell, un sistema integrato appositamente progettato per la difesa delle strutture industriali dalle minacce trasmesse via USB. La scansione e il controllo dei dispositivi USB in 50 diverse aziende hanno dimostrato che quasi la metà (44%) ha rilevato e bloccato almeno un file con un problema di sicurezza. La scansione ha inoltre rivelato che il 26% delle minacce rilevate erano in grado di causare notevoli danni e interruzioni delle attività produttive.

Le minacce hanno interessato un’ampia gamma di siti industriali, tra cui raffinerie, impianti chimici e produttori di carta e cellulosa in tutto il mondo, e presentavano un livello di gravità variabile. Il 16% degli attacchi, inoltre, era mirato verso sistemi di controllo industriale (ICS) e dispositivi per l’Internet of Things (IoT).

USB-Borne Malware: unità USB come vettore primario per minacce distruttive

“I dati hanno mostrato minacce molto più gravi di quanto ci aspettassimo e, considerati insieme, i risultati indicano che alcune di queste minacce erano mirate e intenzionali”, ha dichiarato Eric Knapp, direttore dell’innovazione strategica di HoneyWell Industrial Cyber Security. “Questa ricerca conferma ciò che sospettiamo da anni: le minacce USB sono reali per gli operatori industriali. Ciò che sorprende è la portata e la gravità delle minacce, molte delle quali possono portare a situazioni gravi e pericolose in siti che gestiscono processi industriali”. Tra le minacce rilevate, infatti, sono stati trovati campioni di codice malevolo appartenenti a pericolose famiglie di malware, tra cui Triton, Mirai, Stuxnet e WannaCry, giusto per citare le più famose.

Risultati preoccupanti, dunque, che sottolineano la necessità di non abbassare mai la guardia quando si parla di sicurezza informatica di siti industriali e dell’importanza di adottare sempre sistemi avanzati per rilevare questa tipologia di minacce.

Un’infografica che indica le tipologie di malware utilizzate per portare a termine attacchi via USB.

Attacchi USB-Borne Malware: l’analisi degli esperti

Nell’epoca della Industry 4.0 e della IoT e della Industrial IoT fa un certo effetto sapere che una delle principali minacce alla sicurezza informatica per una vasta gamma di reti di controllo dei processi industriali è ancora rappresentata dai dispositivi Usb.

Eppure è così. “Le periferiche USB rappresentano in concreto un problema di sicurezza aziendale spesso sottovalutato. In primis, superano i controlli perimetrali realizzati dai tecnici per proteggere la rete permettendo a eventuali malware di accedere direttamente ai singoli PC, sui quali talvolta il controllo può essere minore” è il commento di Paolo Dal Checco, Consulente informatico forense.

Secondo Dal Checco, inoltre, “il tutto viene agevolato dal fatto che nelle aziende uno dei metodi di condivisione ancora più diffuso sono proprio le pendrive: vengono infatti utilizzate tra colleghi per passare file di grosse dimensioni o da chi si sposta per portare con sé dati da utilizzare su piattaforme diverse. Pendrive che, per la percezione degli utenti, sono dei semplici “vettori” per portare file e documenti ma che, in realtà, hanno diverse potenzialità di attacco alle protezioni di sicurezza implementati sui sistemi”.

Tecnicamente, le periferiche USB non soltanto possono contenere malware – come indicato nel documento prodotto da HoneyWell – ma è ormai facile produrre penne USB che, “fingendosi” tastiere o mouse, possono eseguire operazioni sul computer così come se fosse l’utente a farle, riuscendo persino ad acquisire i privilegi di amministratore, cosa che un malware riesce a fare con maggiore difficoltà. Secondo il nostro consulente “questo significa che possiamo avere il miglior antivirus o antimalware sul sistema ma questo non sarà in grado di rilevare che alcune operazioni non verranno fatte da noi bensì da una periferica che simula il funzionamento di una tastiera. Interessante, a questo proposito, l’esperimento condotto con la penna USB Rubber Ducky, che mostra proprio come con pochi comandi e una pennetta da pochi euro è possibile ottenere il controllo di un PC”.

L’analisi di Dal Checco si conclude quindi con una considerazione sull’importanza del fattore umano, che in questo tipo di attacco gioca un ruolo di primaria importanza: “uno degli elementi maggiormente sfruttati dagli attaccanti è il fatto che le persone sono spesso impreparate a concepire i rischi derivati dall’inserimento di una pendrive sul proprio PC, in particolare se tale pendrive proviene da fonti non certe o persino ignote”.

Significativo, a tale proposito, l’esperimento condotto durante la conferenza BlackHat durante il quale i ricercatori hanno diffuso circa 300 pendrive nei luoghi più disparati (Università, uffici, parcheggi e parchi pubblici, etc…) inserendovi preventivamente all’interno un malware “buono”, il cui solo compito era quello di comunicare ai ricercatori l’inserimento delle pennette nei PC di coloro che le avevano trovate. Il risultato dell’esperimento è impressionante: quasi la metà delle pendrive sono state inserite, da coloro che le hanno raccolte, nel PC per visionarne i documenti e aprirne alcuni. Alle “vittime” è quindi immediatamente stato comunicato quanto avvenuto, spiegando che appunto si trattava di una ricerca totalmente innocua che anzi, avrebbero potuto supportare restituendo la pendrive e comunicando le motivazioni per le quali si erano fidate a portare a casa o in ufficio le pendrive e aprirne i documenti ivi contenuti, con una preferenza per le immagini e per i Curricula.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5