Ucraina senza elettricità per un trojan “industriale”

Sul fatto che, da tempo, le Public Utility fossero nel mirino dei cyberterroristi ci sono pochi dubbi. Ma mai, in passato, si era registrato un attacco massiccio ed efficace. Lo scorso dicembre, invece, una violazione delle centrali elettriche ucraine ha lasciato senza elettricità 700mila persone.

Analizzando le dinamiche dell'azione è emerso che, oltre alle centrali colpite, la violazione abbia cercato di spegnere, senza successo, anche altre aziende fornitrici di energia.

L'essere riusciti a togliere l'elettricità a un'ampia zona del Paese rappresenta un segnale d'allarme che deve essere valutato con estrema attenzione, in quanto i criminali hanno utilizzato la backdoor BlackEnergy per inserire la componente KillDisk nei computer colpiti, impedendone così il riavvio. Del resto il trojan BlackEnergy era già noto nel settore, in quanto si tratta di un malware modulare che può scaricare varie componenti per completare specifiche attività. Nel 2014, infatti, è stato usato per una serie di attacchi di cyber spionaggio verso bersagli di alto profilo legati proprio al governo ucraino. Nei recenti attacchi alle compagnie di distribuzione di energia elettrica, su dei sistemi precedentemente infettati da BlackEnergy, è stata però scaricata ed eseguita la nuova componente KillDisk, che ha avuto effetti devastanti.

É inoltre importante sottolineare come la variante di KillDisk sia in grado di eliminare i file di sistema per impedirne il riavvio, come avviene tipicamente nei trojan distruttivi. Ma la novità riguarda il fatto che contiene un codice ideato specificamente per sabotare i sistemi industriali, tentando di chiudere i processi legati alle piattaforme comunemente usate proprio nei sistemi di controllo industriale. La nuova componente, una volta chiusi i sistemi, sovrascrive in modo casuale il file eseguibile sull'hardisk, prendendo ancor più complicato il ripristino del sistema infettato.

Pubblica i tuoi commenti