CrashOverride, come funziona la cyber arma russa per colpire le reti elettriche
Hacker alleati con il governo russo avrebbero creato la più potente arma cyber realizzata sinora per colpire i sistemi elettrici.
A dirlo sono alcuni ricercatori americani, citati dal Washington Post in un articolo a firma di Ellen Nakashima.
Il malware, che gli esperti hanno denominato CrashOverride, è noto per aver fermato una sola power grid, precisamente a dicembre in Ucraina. Durante quell’incidente, i pirati informatici interruppero brevemente un quinto dell’energia elettrica generata da Kiev. Tuttavia, con alcune modifiche – hanno spiegato addetti ai lavori della cyber security firm Dragos che sul tema stanno preparando un report -, la minaccia potrebbe essere impiegata contro i sistemi di trasmissione e distribuzione elettrica degli Stati Uniti, con effetti devastanti.
La notizia, sottolinea il WaPo, è giunta nel momento in cui il governo americano sta investigando sul presunto ambizioso sforzo russo di influenzare le ultime elezioni presidenziali statunitensi.
La compagnia Dragos ha battezzato il gruppo che ha creato il malware col nome di Electrum, e si dice piuttosto certa che il nuovo strumento sia stato utilizzato dagli hacker proprio nel 2015 contro l’Ucraina: un’offensiva che da più parti è stata addebitata a Mosca. E che lo stesso gruppo possa essere collegato all’attacco ad alcuni sistemi di controllo industriale degli Usa nel 2014, realizzato da Sandworm.
“Sandworm e Electrum potrebbero essere lo stesso collettivo o due gruppi differenti che lavorano per la stessa organizzazione, ma prove forensi mostrano che sono legati”, hanno aggiunto gli esperti di Dragos.
CrashOverride, prosegue l’analisi della Nakashima, “è solo il secondo malware progettato appositamente per colpire sistemi di controllo industriali”. Il primo, ricorda, fu “Stuxnet, il worm creato da Usa e Israele per interrompere le capacità di arricchimento dell’uranio del programma nucleare iraniano”. Una vera e propria arma militare di livello avanzato.
Però, aggiungono gli esperti, CrashOverride è “particolarmente allarmante” perché “è parte di un quadro più ampio”.
Il malware, si pone in evidenza, è come un “coltellino svizzero”, che può essere modificato per avere i tool e le caratteristiche più utili per colpire un determinato obiettivo. Tutto ciò presuppone un lavoro e uno sforzo ingente di tempo, uomini e risorse, il che lascerebbe pensare che ciò potrebbe essere associato a uno stato o a un progetto molto ben finanziato.
Uno dei tool più insidiosi di CrashOverride sarebbe la possibilità di manipolare le impostazioni dei sistemi di controllo dell’alimentazione elettrica. Esegue la scansione dei componenti critici che fanno funzionare gli interruttori automatici e apre gli interruttori automatici, che bloccano il flusso di energia elettrica. Continua a mantenerli aperti anche se un operatore di rete cerca di chiuderli, creando una lunga interruzione di corrente.
Inoltre, il malware ha anche un componente ‘wiper’ che cancella il software sul sistema informatico che controlla gli interruttori, costringendo l’operatore ad agire manualmente recandosi nelle sottostazioni per ripristinare l’alimentazione.
Con questo malware, riporta ancora il WaPo, l’aggressore può puntare più località con una funzionalità ‘bomba a orologeria’ e impostarlo perché si attivi contemporaneamente. Ciò potrebbe generare disservizi multipli nello stesso momento.
Fonte Cyber Affairs
Foto Defence Talk
RedazioneVedi tutti gli articoli
La redazione di Analisi Difesa cura la selezione di notizie provenienti da agenzie, media e uffici stampa.