Kaspersky ICS CERT (Industrial Control Systems Cyber Emergency Response Team) è un progetto globale lanciato dall’omonima azienda di sicurezza informatica nel 2016 al fine di coordinare gli sforzi dei vendor di sistemi di automazione, dei proprietari o degli operatori di impianti industriali e dei ricercatori sulla sicurezza IT, e proteggere le imprese industriali dagli attacchi informatici. Il team è dedicato all’identificazione delle minacce, potenziali o esistenti, che colpiscono i sistemi di automazione industriale e il mondo dell’IIoT. Fin dall’inizio, ha identificato oltre 200 vulnerabilità critiche nelle soluzioni dei principali vendor globali del settore ICS.
In questo caso, le vulnerabilità scoperte sono state individuate nel protocollo di rete principale e nell’ambiente di esecuzione run-time del framework CODESYS (Controlled Development System), utilizzato da diversi produttori per realizzare il software che mette in funzione oltre 350 dispositivi industriali, come i controllori logici programmabili (PLC) e le interfaccia uomo-macchina (HMI), di diversi brand sul mercato.
Queste dodici falle di sicurezza avrebbero potuto consentire ad un potenziale attaccante di scatenare cyber attacchi distruttivi e ben celati, da remoto o locale, nei confronti dell’organizzazione nella quale vengono utilizzati i PLC sviluppati proprio attraverso il framework vulnerabile. Fortunatamente, le vulnerabilità sono state risolte piuttosto rapidamente dal vendor proprio dopo la segnalazione sulle problematiche avanzata da Kaspersky.
“Molte di queste, in realtà, sarebbero state scoperte tempo prima, se la community della sicurezza informatica fosse stata coinvolta nello sviluppo del protocollo di comunicazione di rete fin dalle fasi iniziali. Riteniamo che la collaborazione con l’intero settore della cybersecurity dovrebbe diventare una ‘best practice’ per gli sviluppatori di importanti componenti dedicati ai sistemi industriali, che si tratti di hardware o software. Soprattutto se si considera che la cosiddetta industria 4.0, che si basa in gran parte sulle moderne tecnologie automatizzate, è ormai una realtà” ha commentato Alexander Nochvay, Security Researcher del Kaspersky ICS CERT.
Indice degli argomenti
Le vulnerabilità e i rischi concreti
Per le organizzazioni industriali, è importante avere una piena consapevolezza di tutte le possibili vulnerabilità, capire quanto possano rivelarsi critiche e cosa è possibile fare per correggerle o mitigarle.
I cybercriminali avrebbero potuto compromettere la funzionalità dei PLC di una particolare struttura o ottenerne il pieno controllo, nascondendo la propria presenza all’interno della rete attaccata e quindi senza destare l’attenzione del personale addetto all’Operation Technology (OT) della struttura attaccata.
Tra i principali pericoli, la supervisione, l’intercettazione e il blocco delle operazioni all’interno dell’impianto; il furto di dati sensibili, come la proprietà intellettuale e altre informazioni riservate (dalla capacità produttiva di una realtà industriale fino alla produzione di nuovi prodotti), ma anche il riutilizzo delle password e di altre informazioni utili ai processi di autenticazione.
I consigli per chi è a rischio
Per affrontare al meglio i potenziali rischi correlati ad uno sfruttamento di questo tipo di vulnerabilità, gli specialisti Kaspersky consigliano di adottare alcune misure.
Innanzitutto, gli sviluppatori che utilizzano il framework devono richiedere l’update ed aggiornare il firmware per i dispositivi programmati; mentre gli ingegneri industriali devono prestare attenzione all’eventuale aggiornamento del firmware dei loro dispositivi, controllando le procedure di gestione delle patch aziendali, nel caso in cui un dispositivo sia stato programmato con l’aiuto del framework o nel caso in cui lo sviluppatore abbia rilasciato aggiornamenti rilevanti per i suoi prodotti.
I dispositivi impiegati all’interno di ambienti di sviluppo e/o SCADA dovrebbero essere dotati di una soluzione di protezione adeguata e quelli utilizzati in ambienti industriali dovrebbero funzionare su una rete isolata e regolamentata. E poi fino a quando i firmware non vengono patchati, i team che si occupano della cybersecurity dei network industriali devono implementare misure di sicurezza specifiche (come le soluzioni per rilevare eventuali attacchi mirati, per monitorare la rete industriale, per formare il personale IT e OT sulla cybersecurity) e altre necessarie per la protezione dal punto di vista informatico, anche in caso di minacce informatiche più sofisticate.
