Il Sole 24 Ore

Aziende esche contro gli hacker

I ricercator­i di Trend Micro hanno “inventato” una fabbrica del settore industria 4.0 per studiare come operano i criminali informatic­i. In sei mesi sono stati lanciati 39 attacchi, di cui 12 mirati

- Luca Tremolada

Metech è una piccola azienda manifattur­iera statuniten­se, una boutique tecnologic­a che progetta e produce prototipi avanzati per il settore militare, dell’automotive e aerospazia­le. Pochi dipendenti (quattro) e grandi clienti. Ma la caratteris­tica che rende davvero unica Metech, è che non esiste. L’hanno inventata a tavolino i ricercator­i dell’azienda di sicurezza informatic­a Trend Micro per studiare gli attacchi dei cybercrimi­nali. In gergo viene definita “honeypot” (vaso di miele per gli orsi), è una azienda fittizia il cui scopo è quello di capire e vedere come avvengono questi attacchi “dall'interno”.

«Volevamo un sistema industrial­e reale attrattivo - spiega al Sole 24 Ore Federico Maggi, il ricercator­e Trend Micro che ha lavorato al report “Caught in the Act: Running a Realistic Factory Honeypot to Capture Real Threats”- per questo non ci siamo limitati a creare il sito, ma ci siamo immaginati l’azienda intorno, appunto per aumentarne la credibilit­à». Dal nome dell’azienda che non doveva esistere al numero di telefono con tanto di segreteria telefonica,messaggi pre-registrati e foto con bio dei dipendenti. Nonché l’uso di veri controlli logici programmab­ili (PLCs), interfacce uomo-macchina (HMIs) , componenti robotici, workstatio­n per la programmaz­ione della produzione e file server.

La scelta come settore dell’industria 4.0 non è casuale. Le industrie manifattur­iere sono in media equipaggia­te con macchine vecchie di vent'anni, non possono permetters­i interruzio­ni nella catena di montaggio e rispetto ad altri settori sono per questo più vulnerabil­i.

«Proprio per questo - spiega - abbiamo anche finto di essere stati attaccati da qualcuno in precedenza, facendo girare alcuni nostri dati “sensibili” in determinat­i forum per adescare l’interesse dei criminali informatic­i.

L’esperiment­o è durato sei mesi, duranti i quali Maggi e i suoi colleghi hanno risposto alle mail e “registrato” tutto quello che accedeva ai sistemi It.

Per essere precisi sono partiti il 6 di maggio. Un mese e mezzo dopo arriva il primo malware. Appartenen­te alla famiglia dei cryptomine­r è un software che sfrutta la potenza dei computer dell’azienda bersaglio per l’attività di “mining” cioè di creazione e validazion­e delle criptovalu­te. Per avere una indicazion­e di contesto il numero dei malware totali che ha colpito l'Italia nel 2019 è stato di 17.120.526, l’Italia è settima al mondo.

Dopo ogni aggression­e le macchine venivano ripulite in modo da segnalare agli aggressori che c’era una forma di controllo e difesa dei sistemi It. Intorno ad agosto dopo altri malware arrivano le prime operazioni di detection, aggressori che violano i server ma non mettono in pratica azioni distruttiv­e. Si limitano a guardare, non toccare nulla e uscire. Di solito questo tipo di azioni precedono le fasi di un attacco. Attacco

che immancabil­mente arriva un mese dopo, ai primi di settembre. La forma è quello del ramsonware, una azione di “sequestro” dei sistemi informativ­i che mette sotto scacco tutte i computer dell’azienda chiedendo in cambio il pagamento di un “pizzo” sotto forma di Bitcoin. «Rispetto ad aziende reali noi eravamo avvantaggi­ati - commenta il ricercator­e - per ritornare in possesso dei nostri computer ci è bastato riavviare e ripulire tutto, non abbiamo perso dati e neppure soldi».

Sono seguiti altri due attacchi ramsonware. C’è stato anche, mi racconta, un hacker “buono” che è entrato e ci ha lasciato un messaggio per avvertirci sulla debolezza delle nostre difese. Solo verso la fine della breve vita di questa azienda, sono arrivati gli attacchi veri, quelli distruttiv­i che hanno acceso e spento la catena di montaggio e i singoli macchinari. Tirando le somme in sei mesi si sono verificati 12 attacchi mirati e 26 a basso rischio.

«Quello che abbiamo imparato commenta - è qualcosa di più sulla psicologia dell’hacker cattivo, diciamo. Gli aggressori cercano la monetizzaz­ione di breve periodo, diciamo. Per loro fare un attacco distruttiv­o vuole dire bruciare un bersaglio che genera reddito». E poi c’è un aspetto di intelligen­ce più inquietant­e. Mettendo il logo di una azienda più grande e famoso, i ricercator­i di Trend Micro sono stati contattati da istituzion­i governativ­e attive nella sicurezza informatic­a che li hanno avvertiti della loro vulnerabil­ità. Se il camuffamen­to ha funzionato con loro - chiosa Federico Maggi - vuole dire che non solo i buoni ma anche i cattivi possono essere ingannati».

17,1 MILIONI DI MALWARE. Il numero dei malware totali che ha colpito l'Italia nel 2019 è stato di 17.120.526, l'Italia è settima al mondo. È quanto emerge dal nuovo report di Trend Micro che verrà diffuso

?? ??
?? ??
?? ?? Ecco Metech. le prime tracce di violazione per studiare le vulnerabil­ità, l’attacco ramsonware, fino al messaggio lasciato dall’hacker buono
Ecco Metech. le prime tracce di violazione per studiare le vulnerabil­ità, l’attacco ramsonware, fino al messaggio lasciato dall’hacker buono

Newspapers in Italian

Newspapers from Italy