Triton ovvero la guerra al tempo del codice

March 11, 2019

Triton è il nome di un malware, abbreviazione per malicious software. Ad oggi è il malware più micidiale al mondo e la brutta notizia è che si sta diffondendo. Triton è un software malevolo che può disabilitare i sistemi di sicurezza che sono progettati per prevenire, nei grandi stabilimenti, possibili incidenti industriali dagli esiti catastrofici. Il malware è stato scoperto in Medio Oriente, ma gli hacker che lo hanno realizzato stanno prendendo di mira aziende in Nord America e in altre parti del mondo.

Un po' di storia
È stato Julian Gutmanis, un esperto in cybersicurezza australiano noto nel settore perché già in passato molte volte ha aiutato diverse aziende ad affrontare le conseguenze di vari attacchi informatici, a trovare per primo il malware. Non era il primo problema di questo tipo che fronteggiava, ma quando il consulente di sicurezza australiano è stato convocato in un impianto petrolchimico in Arabia Saudita nell'estate del 2017, ciò che ha trovato gli ha fatto gelare il sangue.

 

 

Gli hacker nell'impianto saudita erano riusciti a mettere del software malevolo che li autorizzava a rilevare e controllare tutti gli strumenti e sensori di sicurezza dell'impianto. Questi sensori fisici e il software loro associato sono l'ultima linea di difesa per prevenire i disastri che mettono in pericolo la vita. Tutte le strumentazioni di sicurezza industriale si suppone che entrino in azione se rilevano condizioni pericolose. Il loro compito è quello di riportare i processi dentro livelli di sicurezza o, nel caso estremo, interrompere completamente la produzione attivando elementi come valvole di intercetto e dispositivi per il rilascio della pressione.

 

Il malware in questione ha permesso di prendere controllo di questi sistemi da remoto: il codice consentiva a degli intrusi di disabilitarli o manometterli. Questo specifico malware che agisce a basso livello sulla sensoristica degli impianti di controllo usato con altri software potrebbe rendere malfunzionante l'impianto industriale con conseguenze catastrofiche. Nel caso specifico, fortunatamente, un difetto nel codice del malware ha portato al blocco della minaccia prima che gli hacker potessero realizzare qualche danno. Il codice iniettato nell'infrastruttura saudita ha innescato una risposta non prevista di un sistema di sicurezza nel mese di giugno 2017, che ha bloccato l'impianto. Di nuovo, ad agosto, il malware ha prodotto l'attivazione di numerosi sistemi, causando un altro arresto.

 

I tecnici dell'impianto hanno attribuito la prima interruzione a un problema meccanico, però, dopo il secondo blocco, i proprietari dell'impianto hanno chiamato degli investigatori per approfondire quello che stava accadendo. Gli esperti hanno scoperto il malware, che da allora è stato soprannominato "Triton" - o talvolta "Trisis" - perché connesso al nome del modello di controllo di sicurezza, Triconex, che infettava. Il Triconnex è un controllore prodotto da Schneider Electric, un'azienda francese tra i leader del settore.

 

 

Se vogliamo immaginare gli esiti di questa infezione possiamo ipotizzare il peggiore dei casi: il codice malevolo avrebbe potuto portare al rilascio di gas tossici di idrogeno solforato o causare esplosioni, mettendo a rischio vite umane sia nell'impianto che nell'area circostante.

 

Gutmanis in alcune interviste ha raccontato che occuparsi del malware nello stabilimento petrolchimico saudito, che nel frattempo era stato riavviato dopo il secondo incidente, era un'esperienza snervante: "Sapevamo di non poter contare sull'integrità dei sistemi di sicurezza. Era impressionante il male che questo codice poteva produrre".

 

Dobbiamo qui evidenziare che questo attacco, per utilizzare una nota metafora, è stato un terrificante passaggio del Rubicone: Triton è il primo caso nel mondo della sicurezza informatica in cui si scopre un codice deliberatamente progettato per mettere a rischio vite umane. Per capire cosa significa la comparsa di Triton, dobbiamo ricordare che i sistemi di sicurezza strumentali basati su tecnologie informatiche non si trovano solo negli impianti petrolchimici; sono, solo per fare un esempio, anche l'ultima linea di difesa che vorrebbe gestire in maniera fail safe - cioè di arresto in sicurezza in caso di malfunzionamento o errore di funzionamento - i sistemi di trasporto, gli impianti di trattamento delle acque e le centrali nucleari.

 

La scoperta di Triton solleva innanzitutto una serie di domande su come gli hacker siano riusciti a entrare in questi sistemi critici. Il malware arriva anche in un momento storico in cui le strutture industriali incorporano la connettività in quasi tutti i tipi di apparecchiature che utilizzano, un fenomeno noto come Internet of Things o IOT. Questa connettività consente grandi vantaggi, come permettere ai lavoratori di monitorare da remoto le apparecchiature e raccogliere rapidamente i dati in modo da rendere le operazioni più efficienti. Tuttavia offre anche agli hacker un numero molto maggiore di potenziali obiettivi.

 

 

Gli hacker dietro Triton quasi sicuramente ora sono a caccia di nuove vittime. Dragos, un'azienda specializzata nella sicurezza informatica industriale, dove ora lavora Gutmanis, afferma che nel corso dell'ultimo anno sono state rilevate prove fattuali che il gruppo di hacker che ha creato Triton ed è riuscito ad iniettarlo nello stabilimento saudita sta utilizzando alcune delle stesse tecniche digitali per obiettivi di ricerca in luoghi al di fuori del Medio Oriente, incluso il Nord America. Sempre secondo i reports di Dragos, chi ha pensato il malware sta creando nuovi ceppi del codice al fine di compromettere una gamma più ampia di sensori e sistemi digitali di sicurezza.

 

Allarme rosso
La notizia dell'esistenza di Triton è stata resa pubblica a dicembre 2017, anche se l'identità dello stabilimento e dei suoi proprietari è stata tenuta segreta: nelle diverse interviste in rete tanto Gutmanis che gli altri esperti coinvolti nelle indagini iniziali si rifiutano di fare nomi, anche per evitare di dissuadere eventuali vittime future dal condividere delle informazioni sugli attacchi informatici in maniera riservata con i ricercatori di sicurezza informatica.

 

In questi ultimi due anni, le compagnie di cybersecurity coinvolte hanno corso per decostruire il malware e per cercare di capire chi ci fosse dietro. La loro ricerca dipinge un quadro preoccupante: Triton di fatto è una sofisticata arma informatica costruita e messa in campo da un gruppo di hacker determinato e paziente la cui identità deve ancora essere stabilita con certezza.

 

Per quanto riguarda il metodo di iniezione del codice, al momento l'ipotesi più plausibile è quella che vede gli hacker essersi introdotti nella rete IT aziendale della compagnia petrolchimica sin dal 2014. Dopo vari tentativi hanno alla fine trovato un modo per entrare nella rete dello stabilimento, molto probabilmente attraverso un buco in un firewall digitale mal configurato che avrebbe dovuto impedire l'accesso non autorizzato. Dopo devono essere riusciti ad entrare in una workstation del comparto ingegneristico, sfruttando una falla senza patch nel codice di Windows o intercettando le credenziali di accesso di un dipendente.

 

 

Poiché la workstation comunicava direttamente con i sistemi di sicurezza strumentale della fabbrica, gli hacker sono stati in grado di apprendere la marca e il modello dei controller hardware dei sistemi, nonché le versioni del loro firmware-software che erano in esecuzione nella memoria dei dispositivi e che regolavano il modo in cui ogni elemento comunica con gli altri.

 

Secondo i ricercatori è probabile che questi abbiano acquistato una macchina Schneider identica a quelle presenti nell'impianti e l'abbiano utilizzata per testare il malware che hanno sviluppato. Questo minuzioso lavoro ha permesso di imitare il protocollo, cioè l'insieme di regole digitali, che la workstation "catturata" dagli hacker utilizzava per comunicare con i sistemi di sicurezza. Gli hacker hanno anche trovato una "vulnerabilità zero-day", o un bug precedentemente sconosciuto, nel firmware del modello Triconex. Ciò ha consentito di iniettare il codice nelle memorie dei sistemi di sicurezza: questo ha concesso di poter accedere ai controller ogni volta che volevano.

 

Questo cosa permetteva di fare? Gli intrusi avrebbero potuto ordinare ai sistemi di sicurezza di disattivarsi e quindi usare altri malware per innescare una situazione pericolosa o potenzialmente letale nell'impianto.

 

Gli esiti avrebbero potuto essere trementi. Il peggior disastro industriale mai accaduto al mondo fino ad oggi ha di fatto coinvolto anche una fuga di gas velenosi. Nel dicembre 1984 una fabbrica di pesticidi della Union Carbide a Bhopal, in India, ha rilasciato una vasta nube di fumi tossici, uccidendo migliaia di persone e causando gravi lesioni a molti altri. La causa allora fu la scarsa manutenzione e l'errore umano. Ma anche in quel caso i malfunzionamenti e i sistemi di sicurezza non funzionanti dell'impianto hanno impedito l'ultima linea di difesa dell'impianto e causato il disastro.

 

Altri allarmi rossi
Ci sono stati solo alcuni esempi precedenti di hacker che usano il cyberspazio per cercare di danneggiare o creare disruption nel mondo fisico. Ricordiamo esempi come Stuxnet, che ha causato il danneggiamento di centinaia di centrifughe in una centrale nucleare iraniana con conseguente autodistruzione delle stesse nel 2010, e CrashOverride, che gli hacker russi hanno utilizzato nel 2016 per colpire la rete elettrica dell'Ucraina.

 

 

Tuttavia, nemmeno il più pessimista cyber-Cassandra dei nostri giorni ha visto arrivare malware come Triton. "Mirare ai sistemi di sicurezza sembrava essere off limits moralmente e davvero difficile da fare tecnicamente", spiega Joe Slowik, un ex ufficiale specialista del cyber della Marina statunitense, che anche lui lavora in Dragos.

 

Altri esperti sono rimasti scioccati quando hanno visto la notizia del codice killer. "Persino con Stuxnet e altri malware, non c'era mai stato un palese e plateale intento di ferire le persone", afferma Bradford Hegrat, consulente di Accenture specializzato in sicurezza informatica industriale.

 

Non è quasi certamente una coincidenza che il malware sia apparso proprio quando hacker di paesi come la Russia, l'Iran e la Corea del Nord hanno intensificato il test dei loro attacchi in settori quali quelli delle "infrastrutture critiche" vitali per il buon funzionamento delle moderne economie, come le compagnie petrolifere e del gas, i servizi elettrici e le reti di trasporto.

 

In un discorso dello scorso anno, Dan Coats, il direttore nazionale dell'intelligence US, ha avvertito che il pericolo di un paralizzante attacco informatico sulle infrastrutture americane critiche stava crescendo. Ha tracciato un parallelismo con le crescenti cyber chatter delle agenzie di intelligence statunitensi rilevate tra i gruppi terroristici prima dell'attacco al World Trade Center nel 2001. "Oggi siamo quasi due decenni dopo quegli attacchi, e sono qui per dire che nuove luci di avvertimento stanno nuovamente lampeggiando rosso" ha detto Coats. "Oggi l'infrastruttura digitale che serve questo paese è letteralmente sotto attacco".

 

Nelle prime fasi dell'indagine, Triton era concordemente considerato un prodotto dell'Iran, dato il conflitto in essere tra iraniani el'Arabia Saudita. Ma i cyber-gialli sono racconti raramente semplici. In un rapporto pubblicato lo scorso ottobre, FireEye, una società di sicurezza informatica che è stata chiamata proprio all'inizio dell'indagine Triton, ha indicato un altro colpevole: la Russia.

 

Gli hacker dietro a Triton avevano testato elementi del codice utilizzato durante l'intrusione per renderlo più difficile da rilevare per i programmi antivirus. I ricercatori di FireEye hanno trovato un file digitale che avevano lasciato nella rete della compagnia petrolchimica e sono stati quindi in grado di rintracciare altri file dallo stesso banco di prova. Questi contenevano diversi nomi in caratteri cirillici, nonché un indirizzo IP che era stato utilizzato per avviare operazioni collegate al malware.

 

Tale indirizzo è stato registrato presso l'Istituto Centrale di Ricerca Scientifica di Chimica e Meccanica - MFTI - di Mosca, un'organizzazione di proprietà del governo con divisioni che si concentrano su infrastrutture critiche e sicurezza industriale. FireEye ha anche affermato di aver trovato prove che indicano il coinvolgimento di un professore dell'istituto, sebbene non abbia nominato la persona. Tuttavia, il rapporto ha rilevato che FireEye non aveva trovato prove specifiche che dimostrassero in maniera inequivocabile e definitiva che l'istituto russo avesse sviluppato Triton.

 

I ricercatori stanno ancora scavando nelle origini del malware, quindi potrebbero emergere altre teorie su chi realmente ci sia dietro. Gutmanis, nel frattempo, è pronto ad aiutare le aziende ad imparare importanti lezioni dalla sua esperienza nello stabilimento saudita. In una presentazione alla S4X19, l'importanza conferenza sulla sicurezza industriale di gennaio 2019, Gutmanis ne ha delineato alcuni: la vittima dell'attacco Triton aveva ignorato più allarmi antivirus attivati dal malware e non era riuscito a individuare un traffico insolito attraverso le sue reti. I lavoratori dello stabilimento avevano anche lasciato chiavi fisiche che controllano le impostazioni sui sistemi Triconex in una posizione che consentiva l'accesso remoto al software della macchina.

 

Se questo fa sembrare il business saudita come un caso isolato per notevoli bug di sicurezza, Gutmanis dice che così non è. "Sono stato in molti impianti negli Stati Uniti che non erano neanche lontanamente maturi [nel loro approccio alla cybersecurity] come questa organizzazione", spiega.

 

Altri esperti osservano che Triton mostra che gli hacker governativi sono ora disposti a perseguire obiettivi relativamente oscuri e difficili da individuare nelle strutture industriali. I sistemi di sicurezza strumentati sono altamente personalizzati per salvaguardare diversi tipi di processi, quindi creare malware per controllarli richiede molto tempo e sforzi scrupolosi. Il controller Triconex di Schneider Electric, ad esempio, è disponibile in decine di modelli diversi e ognuno di questi può essere caricato con diverse versioni di firmware.

 

Che gli hacker abbiano fatto di tutto per sviluppare Triton è stato un campanello d'allarme per Schneider e altri produttori di sistemi di sicurezza strumentati - aziende come Emerson negli Stati Uniti e Yokogawa in Giappone. Schneider ha ringraziato per aver condiviso pubblicamente i dettagli di come gli hacker hanno preso di mira il suo modello Triconex nello stabilimento saudita, tra cui si evidenziando il bug zero-day che è stato successivamente riparato. Ma durante la sua presentazione di gennaio, Gutmanis ha criticato l'azienda per non aver comunicato abbastanza con gli investigatori nel periodo dell'indagine immediatamente successivo all'attacco.

 

Schneider ha risposto affermando di aver collaborato pienamente con la società di cui è stato preso di mira l'impianto, nonché con il Dipartimento della Sicurezza Nazionale degli Stati Uniti e altre agenzie coinvolte nell'inchiesta su Triton. Ha assunto più persone da quando è accaduto questo evento per aiutarla a rispondere agli incidenti futuri e ha anche rafforzato la sicurezza del firmware e dei protocolli utilizzati nei suoi dispositivi.

 

Andrew Kling, un dirigente di Schneider, afferma che una lezione importante imparata della scoperta di Triton è che le industrie e i produttori di apparecchiature devono concentrarsi maggiormente su aree che possono sembrare obiettivi altamente improbabili per gli hacker ma che potrebbero causare un disastro se compromesse. Questi includono cose come le applicazioni software che vengono utilizzate raramente e protocolli più vecchi che regolano la comunicazione machine-to-machine. "Potresti pensare che nessuno si prenderà mai la briga di rompere [un] protocollo oscuro che non è nemmeno documentato", dice Kling, "ma ci si deve chiedere, quali sono le conseguenze se lo fanno?".

 

Un futuro analogico?
Negli ultimi dieci anni, le aziende hanno aggiunto connettività Internet e sensori a tutti i tipi di apparecchiature industriali. I dati acquisiti vengono utilizzati per tutto, dalla manutenzione predittiva, ovvero utilizzando modelli di apprendimento automatico per anticipare meglio quando le apparecchiature necessitano di manutenzione, per ottimizzare i processi di produzione. C'è stata anche una grande spinta per controllare i processi da remoto attraverso device come smartphone e tablet.

 

Tutto ciò può rendere le aziende molto più efficienti e produttive, il che spiega il motivo per cui quest'anno dovrebbero essere spese dall'industria circa 42 miliardi di dollari in attrezzature industriali come sensori intelligenti e sistemi di controllo automatizzati, secondo il Gruppo ARC, che segue questo mercato specifico. Ma i rischi sono anche chiari: più attrezzature sono collegate, più obiettivi gli hacker possono prendere di mira.

 

Per tenere lontani gli aggressori, le aziende industriali fanno affidamento su una strategia nota come "defense in depth". Questa comporta creare più livelli di sicurezza, a partire dai firewall per separare le reti aziendali da Internet. Altri livelli hanno lo scopo di impedire agli hacker che entrano dall'accesso alle reti degli impianti e quindi ai sistemi di controllo industriale.

 

 

Queste difese includono anche strumenti come antivirus per individuare malware e, in misura crescente, software di intelligenza artificiale che cerca di individuare comportamenti anomali all'interno dei sistemi IT. Quindi, come ultimo ostacolo, ci sono i sistemi di sicurezza strumentali e le casseforti di sicurezza fisiche. I sistemi più critici hanno in genere più backup fisici per proteggersi dall'errore di qualsiasi elemento.

 

La strategia si è dimostrata solida. Ma l'ascesa di hacker al servizio di stati, con il tempo i soldi e la motivazione per indirizzare le infrastrutture critiche, così come il crescente uso di sistemi connessi a Internet, indica che il passato potrebbe non essere una guida affidabile per il futuro.

 

La Russia, in particolare, ha dimostrato  di voler trasformare il software in armi e dispiegarlo contro obiettivi fisici in Ucraina, che ha utilizzato come banco di prova per il suo kit di armi informatiche. E lo spiegamento di Triton in Arabia Saudita mostra che determinati hacker trascorreranno anni di tentativi e test per trovare il modo di sondare tutti questi strati difensivi.

 

Fortunatamente, gli attaccanti dell'impianto saudita sono stati intercettati e ora sappiamo molto di più su come hanno operato. Ma è un promemoria che fa riflettere sul fatto che, proprio come gli altri sviluppatori, anche gli hacker commettono errori. Cosa accadrebbe se il bug che hanno inavvertitamente introdotto, invece di innescare uno spegnimento sicuro dell'impianto, avesse disabilitato i sistemi di sicurezza dell'impianto proprio quando un errore umano o un altro errore aveva causato uno dei processi critici nella centrale di andare in tilt? Il risultato avrebbe potuto essere una catastrofe anche se gli hacker non avevano intenzione di provocarlo.

 

 

Esperti in luoghi come l'Idaho National Laboratory degli Stati Uniti stanno sollecitando le aziende a rivedere tutte le loro operazioni  alla luce di Triton e altre minacce cyber-fisiche, e a ridurre radicalmente, o eliminare, i percorsi digitali che gli hacker potrebbero utilizzare per arrivare a processi critici.

 

Le aziende possono sforzarsi di farlo, ma Triton ci ricorda che i rischi stanno aumentando. Gutmanis pensa che altri attacchi usando Triton, il malware più micidiale del mondo, siano quasi inevitabili. "Mentre questo è stato il primo," dice, "sarei sorpreso se risultasse essere l'ultimo".

 

Quali orizzonti per l'Italia

Triton ci mostra come le frontiere dell'innovazione sono oggi oggetto di diversi ambiti. Non solo etico e politico ma anche strategico come mostra Triton. Una questione specificatamente nostrana sembra emergere. Come paese per una serie di varie circostanze e opportunità abbiamo industrialmente abbracciato il modello Industry 4.0 che prevede anche sensori connessi e controlli interconnessi. Nello sviluppo polverizzato della nostra piccola e media impresa abbiamo disseminato di vulnerabilità e fragilità il nostro sistema produttivo. In un contesto di sempre crescente conflittualità globale dobbiamo guardare con occhio strategico nazionale a questo ambito cercando di monitorare lo stato del nostro complesso industriale, proteggendo le infrastrutture critiche e aiutando le piccole e medie imprese ad essere all'altezza delle sfide che oggi si trovano a vivere.

 

Oggi la sfida ci coinvolge come sistema-paese. L'algor-etica e la protezione del made in Italy e dei nostri cittadini passa anche da qui.

Share on Facebook
Share on Twitter
Please reload