Questo articolo è disponibile anche in versione podcast audio.
Il 27 giugno scorso una delle più grandi acciaierie in Iran, la
Mobarakeh Steel Company (info su Wikipedia), ha vissuto momenti drammatici: stando a vari video non confermati ma
ritenuti attendibili, poco dopo che alcuni operai si erano allontanati da una
zona dell’impianto nella quale si lavorano grandi quantità di metallo fuso, si
è formata una enorme fiammata e il metallo incandescente si è riversato fuori
dai suoi contenitori, spandendosi nelle vicinanze in una luminosissima,
rovente cascata di scintille.
L’incidente merita attenzione perché tutto indica che si sia trattato di un
sabotaggio effettuato tramite un attacco informatico: un caso piuttosto raro
di conseguenze molto concrete, e potenzialmente fatali, di crimine digitale
che agisce direttamente sulle cose del mondo reale invece di limitarsi, si fa
per dire, a cancellare e danneggiare dati.
L’attacco è stato
rivendicato
su Telegram e Twitter da un gruppo che si fa chiamare
Predatory Sparrow (passero predatore). Il gruppo ha presentato come conferma
i video tratti dalle telecamere di sorveglianza interna dell’acciaieria e ha anche
pubblicato
una ventina di gigabyte di dati che dice di aver trafugato da questa e altre
due acciaierie iraniane che ha preso di mira. I media di stato iraniani hanno
fornito
conferme indirette
degli attacchi, ma hanno
dichiarato
che non ci sarebbero stati danni alle linee di produzione (Cyberscoop.com).
L’idea che un attacco informatico possa causare la fuoriuscita di colate di
metallo fuso dove lavorano gli operai è decisamente inquietante, ma non è la
prima volta che ci sono conseguenze fisiche molto gravi a seguito di
un’incursione digitale.
Sempre in Iran, nel 2010, il malware Stuxnet danneggiò
o distrusse le centrifughe dell’impianto di arricchimento dell’uranio di
Natanz (come ho raccontato in dettaglio nel
podcast del 9 luglio 2021). Nel 2014 l’autorità tedesca per la sicurezza informatica, la BSI, parlò di
gravi danni a un’acciaieria nazionale
causati da un attacco informatico basato sul phishing, senza però fornire
molti dettagli. E nel 2015 in Ucraina un’azienda che gestiva la rete elettrica
per la maggior parte del paese fu colpita da un attacco informatico che tolse
la corrente a 200.000 persone per varie ore.
Questi attacchi così devastanti avvengono raramente, per fortuna, ma sono gli
effetti più sensazionali di una tecnica di attacco molto diffusa ai danni
delle industrie: quella che consiste nel prendere il controllo dei sistemi di
comando remoto che gestiscono i grandi impianti e sabotarli in modo che questi
impianti vadano in avaria o causino danni.
I sistemi di controllo industriale
sono sempre più diffusi, perché costano meno e sono più precisi rispetto a una
squadra di addetti, che oltretutto spesso rischierebbero la propria
incolumità, e perché a volte non c’è altro modo per comandare gli impianti:
basti pensare ai macchinari che operano in condizioni che sarebbero fatali per
un operatore umano o che sono difficilmente accessibili, come le pale eoliche
o i ripetitori cellulari o radiotelevisivi in alta montagna. In questi casi il
controllo remoto è indispensabile.
Il problema nasce quando questi sistemi di controllo remoto non sono ben
protetti e vengono installati disinvoltamente, senza pensare troppo alle loro
implicazioni di sicurezza. Infatti se un impianto è accessibile da remoto da
parte dei suoi addetti, potrebbe essere accessibile tramite la stessa via
anche da parte di malintenzionati. Questi sistemi di controllo sono spesso
connessi via Internet, e molte aziende non si rendono conto che oggi esistono
motori di ricerca appositi, come
Shodan,
Binaryedge,
Zoomeye o
Censys, che permettono a chiunque di trovare
tipi specifici di dispositivi accessibili via Internet e di ottenere
informazioni sul loro funzionamento. Questi motori di ricerca esistono per
segnalare o prevenire violazioni di sicurezza, ma ovviamente sono utilizzabili
anche per trovare bersagli per attacchi.
Incidenti come quello iraniano sono spesso di matrice politica, e si sospetta
che dietro il gruppo Predatory Sparrow ci sia un governo che lo appoggia o
addirittura lo dirige. Questo sospetto è avvalorato, secondo alcuni addetti ai
lavori, dal fatto che il gruppo è stato molto attento a causare la fiammata
nell’acciaieria in un momento nel quale non c’erano addetti nelle vicinanze e
ha ribadito questa sua attenzione nelle rivendicazioni, e questo tipo di
scrupolo è caratteristico di organizzazioni che devono rispettare delle linee
guida politiche o governative, per esempio per causare danni strategici senza
essere viste negativamente perché hanno colpito degli innocenti.
Sia come sia, episodi drammatici come quello dell’acciaieria iraniana sono un
rumoroso campanello d’allarme per qualunque azienda che abbia sistemi gestiti da
remoto, in qualunque paese: è opportuno irrobustire le proprie difese, invece
di fare quello che fanno molti, ossia usare semplicemente Teamviewer senza
password perché tanto è comodo e si ritiene che se nessuno sa l’indirizzo IP
dell’impianto nessuno lo troverà mai. Shodan esiste proprio per questo, e ho
vissuto personalmente due casi nei quali un
generatore elettrico italiano
e una
mini-centrale elettrica francese
erano comandabili da remoto da chiunque, perché i loro gestori non si curavano
della sicurezza. Non è stato uno spettacolo rincuorante.
E anche se pensate che la vostra azienda non sia nel mirino dei gruppi
politici internazionali, esistono sempre il sottobosco del crimine
informatico, che è ben contento di chiedere riscatti per non sabotare i vostri
impianti, e anche il sotto-sottobosco, quello dei semplici vandali, quelli che causano
sabotaggi
for the lulz, ossia per puro, asociale divertimento. Forse è il caso di approfittare
della pausa estiva per fermarsi un momento a ragionare sulle proprie procedure
di accesso remoto e rinforzarle un pochino.
Fonti aggiuntive:
BBC,
The Cyberwire.