Malware ICS Fuxnet utilizzato dall'Ucraina per interrompere l'infrastruttura russa

Rapporti recenti indicano che gli hacker ucraini, presumibilmente associati a un gruppo noto come Blackjack e presumibilmente collegato ai servizi di sicurezza ucraini, hanno eseguito attacchi informatici contro infrastrutture critiche russe. Un incidente degno di nota ha riguardato l’assalto alla Moscollector, una società con sede a Mosca che supervisiona sistemi sotterranei vitali come l’acqua e le reti di comunicazione. Gli aggressori, sostenendo di aver utilizzato una sofisticata forma di malware chiamata Fuxnet , hanno affermato di essere riusciti a rendere inabili i sensori industriali e le infrastrutture di monitoraggio della Russia, colpendo servizi che vanno dal gas agli allarmi antincendio.

Tuttavia, un esame approfondito condotto dalla società di sicurezza informatica Claroty suggerisce un quadro più sfumato. Mentre Blackjack si vantava di aver paralizzato 87.000 sensori e causato un caos diffuso, l'analisi di Claroty rivela un approccio più mirato. Fuxnet, descritto come " Stuxnet con steroidi", sembra essersi concentrato su circa 500 gateway di sensori anziché danneggiare direttamente i sensori stessi. Questi gateway fungono da intermediari tra i sensori e la rete più ampia, consentendo la trasmissione dei dati al sistema di monitoraggio centrale di Moscollector.

Le scoperte di Claroty fanno luce sugli intricati meccanismi dell'attacco. Fuxnet, distribuito in remoto, avvia una serie di azioni distruttive dopo l'infiltrazione. Cancella sistematicamente file cruciali, disabilita i servizi di accesso remoto e interrompe i percorsi di comunicazione. Inoltre, il malware tenta di distruggere fisicamente i chip di memoria e inondare i canali seriali con dati casuali, con l'obiettivo di sopraffare sia i gateway che i sensori collegati.

Nonostante le affermazioni del Blackjack sulla devastazione diffusa, sembra che il loro impatto sia stato più localizzato. Prendendo di mira principalmente i gateway di sensori e inondando i canali seriali, gli aggressori hanno cercato di creare disagi piuttosto che di distruzione totale. Di conseguenza, anche se le riparazioni possono rivelarsi impegnative a causa della diffusione geografica dei dispositivi interessati, l’integrità dei sensori rimane sostanzialmente intatta.

L’incidente sottolinea il panorama in evoluzione della guerra informatica, in cui malware sofisticati possono causare interruzioni significative senza necessariamente infliggere danni irreversibili. Mentre le nazioni sono alle prese con la crescente minaccia di attacchi informatici alle infrastrutture critiche, la necessità di solide misure di sicurezza informatica e di cooperazione internazionale diventa sempre più imperativa.