Obiettivo: blackout

Obiettivo: blackout

30.10.2017 | Una cyberwar inizia spesso con un attacco alla rete elettrica; ma quali sono le regole e come ci si può difendere?

23 dicembre 2015, ore 15.30: uno dei dipendenti della compagnia energetica ucraina Prykarpattya Oblenergo è seduto alla scrivania. Sta riordinando le sue carte quando la freccetta del mouse inizia a muoversi da sola, andando a spegnere gli interruttori delle centrali elettriche. L’uomo immediatamente prova a chiudere il sistema e rientrare di nuovo, ma non può più farlo: le password sono state cambiate. Nel frattempo però, circa 230mila persone sono rimaste senza luce.

Nelle stesse ore, i centri di controllo di altre due aziende: la Kyivoblenergo (che gestisce la rete elettrica della regione di Kiev) e la Chernivtsioblenergo (nella regione di Černivci) subiscono lo stesso destino.  Un anno dopo, il 17 dicembre del 2016, viene colpito anche il sistema di gestione della Ukrenergo, a Kiev. Risultato: blackout completo nella parte nord della capitale. Secondo quanto riportato dalla BBC, entrambi gli attacchi avrebbero caratteristiche simili, nonostante il secondo sia stato molto più elaborato del primo.

E non è finita qui: il malware che ha colpito Kiev sarebbe un software capace di infettare altre reti elettriche in giro per il mondo. Lo hanno scoperto le società di cybersicurezza ESET e Dragon INC. Il virus Crash Override, come lo hanno ribattezzato i ricercatori, sarebbe in grado di ripetere in automatico le interruzioni del sistema e allo stesso tempo di adattarsi a diversi software di gestione. Un avvertimento simile a quello lanciato qualche mese fa da Symantec, secondo cui i sistemi informatici di diverse aziende energetiche negli Stati Uniti, in Turchia e in Svizzera sarebbero stati attaccati dal gruppo hacker Dragonfly, capace con le sue azioni di interrompere la distribuzione dell’energia. I malware sarebbero riusciti a infettare i computer delle aziende, ma non a causare un blackout.

L'impressionante crescita degli attacchi hacker, anno dopo anno. (Fonte: Statista)

In poche parole, gli impianti elettrici sono un obiettivo strategico molto sensibile e di grande rilevanza, bersaglio di vere e proprie operazioni strutturate e ben organizzate. “Per colpire, però, c'è bisogno di software complessi, proprio perché ogni infrastruttura presa di mira è diversa. Solo i governi e le organizzazioni criminali possono permettersi attacchi di questo genere”, spiega l’avvocato Stefano Mele, presidente della Commissione sicurezza Cibernetica del comitato Atlantico Italiano. Non è un caso che le operazioni contro le reti elettriche ucraine siano solo una piccola parte della lunga lista di cyber-aggressioni che ha colpito il paese, indicando un chiaro mandante: il Cremlino. Insomma, si tratterebbe del versante cibernetico di un conflitto iniziato nel 2014, con la crisi della Crimea. Almeno, questo è quanto dicono diversi analisti e lo stesso governo ucraino. Non solo: per alcuni ricercatori, anche il gruppo DragonFly potrebbe essere ricondotto alla galassia russa. “Per mettere a segno questo tipo di attacchi, è necessaria un’attività di intelligence non indifferente: ci vuole un’organizzazione di fondo che un singolo soggetto non potrebbe mai avere”, continua Mele.

Ma il modus operandi non è sempre lo stesso. Si va dallo spegnimento dei sistemi, sulla base di comandi inseriti a distanza; a software che agiscono in automatico, capaci di mappare i sistemi di controllo e di individuare le apparecchiature di spegnimento o accensione. Questi ultimi, come nel caso di CrashOverride, sono tra i più pericolosi, perché in grado di riprodursi e diffondersi anche in altri ambienti informatici. Dragonfly utilizzava invece programmi mascherati da applicazioni conosciute che contengono trojan in grado di infiltrarsi nel sistema o attacchi del tipo “Watering Hole”: in cui gli hacker infettano siti internet frequentati dagli impiegati delle aziende nel mirino, inserendo codici malevoli capaci di colpire il software utilizzato dai dipendenti.

Insomma, negli ultimi anni gli attacchi alle infrastrutture energetiche si sono ripetuti nel tempo, ottenendo in alcune situazioni effetti concreti. In diversi casi, si è trattato di operazioni complesse e metodiche, che non possono non riportare alla mente Stuxnet: il virus informatico creato nel 2005 da Stati Uniti e Israele per infettare la centrale nucleare iraniana di Natanz disabilitando gli strumenti che regolano il sistema di purificazione dell’uranio. Stuxnet era stato voluto dall’amministrazione Bush per proseguire nell’operazione “giochi olimpici”, nata con la complicità di Israele, e smantellare il programma nucleare di Teheran.

 

Nella maggior parte dei casi, queste operazioni sono infatti appositamente create per colpire una singola infrastruttura energetica. Per quanto riguarda Stuxnet, per esempio, il virus fu diffuso da una pennetta USB inserita nel PC da un ignaro dipendente iraniano. E chi lo ha progettato conosceva nel dettaglio il sistema informatico in uso nella centrale di Natanz. Per quanto riguarda  l’attacco del 2015 in Ucraina, BlackEnergy, il malware che ha spento il software di controllo si sarebbe propagato con un allegato Word, spesso proveniente da account email conosciuti dal ricevente e precedentemente hackerati.

Si tratta di operazioni che non sarebbero possibili senza il contributo da parte di impiegati distratti o poco consci del pericolo. “La grande particolarità di queste operazioni è che fanno leva sul fattore umano, in particolare sulla psicologia degli esseri umani: non è un caso che vengano lanciati il venerdì pomeriggio o a fine turno, quando la stanchezza si fa sentire”, spiega Mele. “l sistemi informatici che controllano le reti elettriche o le centrali nucleari non sono più vulnerabili di altri sistemi, il problema è che gestiscono impianti di grande rilevanza e per questo ci vuole più attenzione. Attenzione che comunque c’è, almeno da parte delle compagnie energetiche”.

Non si tratta, però, di semplici scaramucce: se compiuto da un’altra nazione, un attacco al sistema informatico che regola la rete elettrica renderebbe legittima una reazione da parte della nazione colpita. “Il problema risiede nella proporzionalità. Secondo il diritto internazionale, gli effetti devono essere proporzionati all’attacco, ma le aggressioni informatiche sono molto complesse ed è molto difficile comprendere quali sono gli effetti e di conseguenza qual è la reazione proporzionata”, prosegue Mele. “Nel caso di un black out, però, gli effetti sono tangibili e potrebbe essere configurato come uso della forza, vietato dagli articoli 2 e 4 della carta ONU”. In poche parole, il problema è che mancano norme specifiche che siano comunemente accettate e condivise.

 
Un attacco al sistema informatico che regola la rete elettrica renderebbe legittima una reazione da parte della nazione colpita

Fortunatamente l’Italia non ha ancora dovuto affrontare un attacco alle proprie infrastrutture energetiche.  “Il livello di vulnerabilità è uguale a quello degli altri paesi europei”, continua Mele. E come le altre nazioni, anche in questo caso la minaccia potrebbe arrivare da stati esteri e da gruppi criminali. Allo stesso tempo, anche il nostro paese ha le strutture per fronteggiare un’eventuale aggressione informatica ai nostri impianti. Fino al 17 febbraio 2017, la sicurezza informatica era di competenza di diversi apparati statali. Poi un decreto del presidente del consiglio Gentiloni, ha reso fondamentale il ruolo del Dipartimento delle informazioni per la sicurezza (DIS): una struttura che ha il compito di mettere a punto una strategia per la difesa contro gli attacchi informatici e che ha una funzione importante anche in caso di aggressioni alla pubblica amministrazione e alle aziende private. Il suo braccio operativo è il nucleo per la sicurezza cibernetica: organo preposto per fronteggiare e prevenire un’eventuale minaccia di questo tipo.

In poche parole, in caso di attacchi le compagnie sono tenute a rivolgersi al DIS, il quale metterà in campo le contromisure necessarie. Il problema però, secondo lo stesso Mele, “è la mancanza di una sensibilità politica capace di finanziare in maniera regolare l’apparato di sicurezza. I finanziamenti ci sono, ma non sono sempre costanti o al livello di quelli messi in campo da altri paesi europei”. Insomma, l’Europa e il resto del mondo guardano con crescente attenzione al continuo ripetersi degli attacchi, in particolare il World Energy Council: un’organizzazione mondiale dedicata al mondo della produzione e dell’approvvigionamento di energia. Secondo un report pubblicato a settembre 2016, il problema sta diventando sempre più globale e non limitato a un singolo impianto energetico, proprio a causa dell’interconnessione dei sistemi informatici.

Per questo motivo, un ruolo fondamentale lo devono avere le aziende tecnologiche che devono sviluppare software e prodotti con standard di sicurezza sempre più adeguati. Senza dimenticare la condivisione di informazioni tra le diverse compagnie e paesi o l’adeguata formazione dei dipendenti. Di conseguenza, la prevenzione parte prima di tutto dalle imprese: “Dovrebbero implementare misure per prevenire, rilevare e rispondere alle minacce”, scrivono gli analisti. “La resilienza dovrebbe essere basata sulla sicurezza dei software e degli hardware, sull’accesso limitato ai centri dati e istruzioni chiare sull’utilizzo di dischi rigidi esterni. Ma allo stesso tempo anche umana, costruita sullo sviluppo di una cultura della cybersicurezza”.

 
l'autore
Marco Tonelli

Nato a Bologna, giornalista professionista, scrive e si appassiona di storie di tecnologia e musica. Sicurezza informatica, trattamento dei dati online e innovazione sono i suoi temi preferiti. Collabora con La Stampa e Il Tascabile.