C’è un nuovo gruppo che negli USA sonda e minaccia le reti energetiche. Il nostro Paese ha appena recepito le direttive europee: ora però vanno applicate
Partiamo da un fatto di cronaca delle ultime ore, gli esperti dell’azienda di cyber security Dragos specializzata nella protezione di sistemi industriali stanno allertando le autorità di tutto il mondo circa l’attività di un nuovo gruppo di attaccanti identificato come Allanite. Il gruppo Allanite, presumibilmente un attore “sponsorizzato” da qualche stato, sta prendendo di mira aziende e reti di controllori industriali utilizzate da impianti per la distribuzione dell’energia elettrica negli Stati Uniti e nel Regno Unito.
I ricercatori dell’azienda Dragos hanno associato le operazioni condotte dai gruppi APT Dragonfly e Dymalloy (anche noti come Energetic Bear and Crouching Yeti) al gruppo Allanite. Il gruppo Allanite è attivo almeno da maggio 2017 e tutt’ora impegnato in attacchi contro le reti aziendali e industriali in uso presso le utility elettriche negli Stati Uniti e nel Regno Unito. Gli esperti ritengono che il gruppo stia conducendo una sorta ricognizione e raccolta di informazioni per attacchi successivi.
Il nome Dymalloy potrebbe cogliere molti esperti di sorpresa, in effetti questo gruppo APT (Advanced Persistent Threat) è stato scoperto dai ricercatori di Dragos mentre indagava sulle operazioni condotte da un altro attore nation-state, Dragonfly. Il gruppo APT Dragonfly è presumibilmente collegato all’intelligence russa e si ritiene che sia responsabile della diffusione del malware Havex , uno dei pochi malware sviluppato specificamente per colpire sistemi industriali ICS/SCADA.
Da dove arriva Allanite
Secondo i ricercatori di Dragos, l’avviso TA17-293A pubblicato dal DHS nell’ottobre 2017 suggerisce un collegamento tra gli attacchi Dragonfly e le operazioni condotte dagli hacker di Allanite. Gli esperti hanno evidenziato che le operazioni di Allanite presentano numerose similitudini con la campagna Palmetto Fusion associata a Dragonfly dal DHS nel luglio 2017. Seppure gli obiettivi, le tecniche e le procedure adottate dai diversi gruppi presentino molti punti in comune, gli esperti ritengono che l’attore Allanite sia diverso da Dragonfly e Dymalloy.
Come Dragonfly e Dymalloy, gli hacker di Allanite sfruttano gli attacchi di spear phishing e watering hole: ma, diversamente da loro, non utilizzano malware specifici per attaccare sistemi industriali.
Allanite è un attore al soldo del Cremlino?
Difficile dirlo con le informazioni a nostra disposizione, molti esperti di sicurezza hanno collegato il gruppo APT alla Russia, ma i ricercatori di Dragos non hanno corroborato la medesima tesi. Secondo Dragos, gli hacker si sono concentrati nella raccolta di informazioni direttamente dalle reti ICS attraverso numerose operazioni condotte nel 2017: ad oggi, tuttavia, il gruppo non ha mai violato un sistema per causare interruzioni o danni.
Il rapporto pubblicato da Dragos sull’APT Allanite è la prima analisi di una raccolta di documenti sulle principali minacce ai sistemi industriali che si distinguono per l’interesse ad attaccare le infrastrutture critiche. Il caso pone alla nostra attenzione il problema della sicurezza delle infrastrutture critiche e dell’esistenza di attori, molto spesso di natura nation-state, che specificano la loro azione nell’attacco ai sistemi cuore delle loro architetture.
E l’Italia?
A questo punto viene da chiedersi come la direttiva Europea NIS (Network and Information Security), considerata dagli esperti un’importante occasione per gli Stati per migliorare la sicurezza delle proprie infrastrutture critiche in un contesto di collaborazione ed information sharing internazionale, sia stata recepita dal nostro Governo. Il fatidico 9 maggio, termine ultimo per il recepimento della Direttiva europea sulla protezione delle reti e dei servizi informatici, Direttiva NIS (Directive on Security of Network and Information systems), è giunto.
Un paio di giorni fa ho letto un interessante articolo da titolo eloquente, “Cybersecurity all’amatriciana, si sono scordati della NIS,” pubblicato da Arturo Di Corinto. Di Corinto sottolinea come l’Italia abbia appena perso il primo importante appuntamento con la cybersecurity, nonostante Jean Claude Juncker nel discorso sullo Stato dell’Unione l’avesse messa al secondo posto tra le emergenze da affrontare.
La direttiva NIS è stata emanata il 6 luglio del 2016 e stabilisce una serie di azioni ed obblighi per il miglioramento della sicurezza cibernetica di ogni paese europeo. Lo scorso 8 febbraio 2018 il Consiglio dei Ministri ha approvato lo schema di Decreto per l’attuazione della NIS con l’intento di assicurare la continuità dei servizi delle infrastrutture critiche nazionali: “Il testo prevede anche l’istituzione presso la Presidenza del Consiglio dei Ministri di un unico centro di risposta alle emergenze informatiche, il Csirt italiano, che andrà a sostituire gli attuali Cert Nazionale e Cert-PA.” ci ricorda Di Corinto. “In ballo ci sono 38 milioni di euro per sostenere l’impegno dei singoli paesi e degli operatori”.
Come è finita?
Gli impegni elettorali del nostro paese, la desolante situazione politica, non han consentito al testo di diventare legge.
Poco male direte, una legge in meno. Tuttavia, vi rammento l’importanza della strategia cyber per il nostro paese: un giorno potreste alzarvi, premere l’interruttore della luce e constatare che siete al buio, mentre il vostro smartphone è senza campo ed il vostro bancomat non vi consente il prelievo di contante. A quel punto maledirete coloro che han dimenticato di pensare alla vostra protezione digitale perdendo questo importante appuntamento.
