Ci troviamo di fronte a uno scenario molto pericoloso e impensabile: un attacco che avrebbe potuto provocare un’esplosione vera e propria
Tutti abbiamo in mente quanto accaduto nel 2014, quanto un pianto petrochimico del colosso Saudi Aramco fu colpito da un malware che distrusse circa 30.000 computer con chiaro intento di sabotaggio.
Oggi siamo qui a discutere di un nuovo attacco cibernetico contro un impianto petrolchimico in Arabia Saudita, gli hacker hanno infatti cercato di colpire la struttura nello scorso agosto, secondo quanto riportato dal New York Times.
Fortunatamente l’attacco è fallito a causa di un errore del codice malevolo utilizzato nell’attacco che avrebbe causato un’interruzione nei sistemi non pianificata che ne ha poi impedito la distruzione.
“Ad agosto, una compagnia petrolchimica con un impianto in Arabia Saudita è stata colpita da un nuovo attacco. L’attacco non è stato concepito per distruggere semplicemente i dati o causare l’interruzione delle attività dell’impianto secondo gli investigatori. Gli attaccanti volevano provocare un’esplosione“, ha riferito il New York Times .
Se l’attacco si trasforma si immateriale a materiale
La notizia mette i brividi, nell’immaginario collettivo un cyber attacco è ancora qualcosa di immateriale, confinato in uno spazio virtuale ed impossibilitato a causare morte e distruzione, ma la realtà è ben altro.
Il livello di complessità dell’attacco, la finalità di sabotaggio e l’assenza apparente di un movente economico suggeriscono il coinvolgimento di un governo straniero.
Le persone intervistate dal NYT in condizioni di anonimato hanno spiegato che gli attacchi informatici probabilmente miravano a causare un’esplosione che avrebbe garantito un numero considerevole di vittime.
Se confermato ci troveremo dinanzi ad una pericolosa escalation degli attacchi di natura nation-state che potrebbero infliggere gravi danni fisici alle vittime.
Il NYT ha detto che le fonti hanno rifiutato di fornire il nome della società che gestisce l’impianto e il governo sospettato di aver lanciato l’attacco informatico.
“Gli aggressori erano sofisticati e avevano dedicato molto tempo e risorse all’offensiva, circostanza che suggerisce che probabilmente erano supportati da un governo, secondo più di una dozzina di persone, compresi esperti di sicurezza informatica che hanno esaminato l’attacco e hanno chiesto di non essere identificati a causa di la riservatezza “continua il NYT.
“L’unica cosa che ha impedito un’esplosione è stato un errore nel codice malevolo utilizzato dagli aggressori, hanno riferito gli investigatori”.
Gli esperti di sicurezza intervistati dal NYT hanno affermato che, a causa del livello di sofisticazione dell’attacco all’impianto petrolchimico saudita, solo pochi governi avrebbero potuto preparare una simile offensiva, tra essi Iran, Cina, Russia, Israele e Stati Uniti.
Gli attacchi all’Arabia Saudita
Il governo dell’Arabia Saudita non ha commentato l’evento, ma le sue infrastrutture, come quelle di mezzo mondo, sono sotto incessanti attacchi.
L’Arabia Saudita è stata presa di mira più volte da gruppi APT, l’attacco più clamoroso è stato condotto con il wiper Shamoon nel 2012 contro i computer nel settore energetico saudita.
I computer di Saudi Aramco, una delle più grandi compagnie petrolifere del mondo, sono stati distrutti dal malware Shamoon in quello che si ritiene essere il peggior attacco informatico del Paese.
All’inizio del 2107, le autorità saudite scoprirono di una nuova ondata di attacchi basati sul malware Shamoon 2 che aveva come obiettivo il paese.
Nel gennaio 2017, il ministero del lavoro dell’Arabia Saudita è stato attaccato e anche un’azienda chimica ha riportato un’interruzione della rete.
Nel novembre 2017, un attacco informatico ha paralizzato un certo numero di computer del governo saudita, secondo gli esperti del Saudi National Cyber ​​Security Center, gli aggressori miravano a distruggere i computer del governo.
Gli aggressori sfruttarono il tool Powershell , e pochi giorni dopo altri attacchi basati sul medesimo malware distruttore (wiper) si registrarono contro obiettivi sauditi
Secondo il New York Times , l’attacco di agosto è stato “molto più pericoloso” di Shamoon, secondo il New York Times, gli attaccanti miravano ad inviare un messaggio politico – gli investigatori hanno detto che il codice era stato costruito con intenti specifici e senza evidenti motivi finanziari.
“L’attacco di agosto non è stato un attacco basato su codice Shamoon. Era molto più pericoloso”.Â
“Gli investigatori ritengono che uno stato sia il responsabile perché non vi erano evidenti motivi di profitto, l’attacco avrebbe infatti richiesto ingenti risorse finanziarie. Il codice malevolo non era mai stato osservato in precedenti assalti ed ogni strumento di hacking era stato costruito su misura. “
L’attribuzione dell’attacco in questa fase è del tutto impossibile, negli ultimi anni le tensioni tra Iran e Arabia Saudita sono aumentate ed il conflitto si è spostato anche nel cyberspazio.
Quali pericoli per le nostre aziende?
Vi starete chiedendo quali sono i pericoli per le nostre imprese e purtroppo i rischi sono elevati pur essendo l’Arabia molto distante.
Il cyber spazio è privo di frontiere ed un codice malevolo sviluppato da un governo potrebbe sfuggire al controllo dell’attaccante causando danni ingenti alle strutture che verrebbero infettate.
Parliamo di militarizzazione del cyber spazio, ovvero dell’uso da parte di governi di armi cibernetiche che necessita di essere regolamentato, come proposto nella dichiarazione di Lucca, di cui sono co-autore, redatta dal gruppo Cyber G7 Italia.
Purtroppo, simili incidenti sono tutt’altro che teorici, basti pensare all’attacco Stuxnet, un codice malevolo inizialmente concepito per colpire le centrifughe di un impianto nucleare in Iran, che tuttavia infettò un gran numero di sistemi in tutto il mondo.
Altro pericolo è quello che un terzo attore, sia esso uno stato o un attore no-state riutilizzi il codice malevolo in attacchi, in questo scenario l’attribuzione risulterebbe davvero impossibile.
Meditiamo ….
