Aziende esche contro gli hacker
I ricercatori di Trend Micro hanno “inventato” una fabbrica del settore industria 4.0 per studiare come operano i criminali informatici. In sei mesi sono stati lanciati 39 attacchi, di cui 12 mirati
Metech è una piccola azienda manifatturiera statunitense, una boutique tecnologica che progetta e produce prototipi avanzati per il settore militare, dell’automotive e aerospaziale. Pochi dipendenti (quattro) e grandi clienti. Ma la caratteristica che rende davvero unica Metech, è che non esiste. L’hanno inventata a tavolino i ricercatori dell’azienda di sicurezza informatica Trend Micro per studiare gli attacchi dei cybercriminali. In gergo viene definita “honeypot” (vaso di miele per gli orsi), è una azienda fittizia il cui scopo è quello di capire e vedere come avvengono questi attacchi “dall'interno”.
«Volevamo un sistema industriale reale attrattivo - spiega al Sole 24 Ore Federico Maggi, il ricercatore Trend Micro che ha lavorato al report “Caught in the Act: Running a Realistic Factory Honeypot to Capture Real Threats”- per questo non ci siamo limitati a creare il sito, ma ci siamo immaginati l’azienda intorno, appunto per aumentarne la credibilità». Dal nome dell’azienda che non doveva esistere al numero di telefono con tanto di segreteria telefonica,messaggi pre-registrati e foto con bio dei dipendenti. Nonché l’uso di veri controlli logici programmabili (PLCs), interfacce uomo-macchina (HMIs) , componenti robotici, workstation per la programmazione della produzione e file server.
La scelta come settore dell’industria 4.0 non è casuale. Le industrie manifatturiere sono in media equipaggiate con macchine vecchie di vent'anni, non possono permettersi interruzioni nella catena di montaggio e rispetto ad altri settori sono per questo più vulnerabili.
«Proprio per questo - spiega - abbiamo anche finto di essere stati attaccati da qualcuno in precedenza, facendo girare alcuni nostri dati “sensibili” in determinati forum per adescare l’interesse dei criminali informatici.
L’esperimento è durato sei mesi, duranti i quali Maggi e i suoi colleghi hanno risposto alle mail e “registrato” tutto quello che accedeva ai sistemi It.
Per essere precisi sono partiti il 6 di maggio. Un mese e mezzo dopo arriva il primo malware. Appartenente alla famiglia dei cryptominer è un software che sfrutta la potenza dei computer dell’azienda bersaglio per l’attività di “mining” cioè di creazione e validazione delle criptovalute. Per avere una indicazione di contesto il numero dei malware totali che ha colpito l'Italia nel 2019 è stato di 17.120.526, l’Italia è settima al mondo.
Dopo ogni aggressione le macchine venivano ripulite in modo da segnalare agli aggressori che c’era una forma di controllo e difesa dei sistemi It. Intorno ad agosto dopo altri malware arrivano le prime operazioni di detection, aggressori che violano i server ma non mettono in pratica azioni distruttive. Si limitano a guardare, non toccare nulla e uscire. Di solito questo tipo di azioni precedono le fasi di un attacco. Attacco
che immancabilmente arriva un mese dopo, ai primi di settembre. La forma è quello del ramsonware, una azione di “sequestro” dei sistemi informativi che mette sotto scacco tutte i computer dell’azienda chiedendo in cambio il pagamento di un “pizzo” sotto forma di Bitcoin. «Rispetto ad aziende reali noi eravamo avvantaggiati - commenta il ricercatore - per ritornare in possesso dei nostri computer ci è bastato riavviare e ripulire tutto, non abbiamo perso dati e neppure soldi».
Sono seguiti altri due attacchi ramsonware. C’è stato anche, mi racconta, un hacker “buono” che è entrato e ci ha lasciato un messaggio per avvertirci sulla debolezza delle nostre difese. Solo verso la fine della breve vita di questa azienda, sono arrivati gli attacchi veri, quelli distruttivi che hanno acceso e spento la catena di montaggio e i singoli macchinari. Tirando le somme in sei mesi si sono verificati 12 attacchi mirati e 26 a basso rischio.
«Quello che abbiamo imparato commenta - è qualcosa di più sulla psicologia dell’hacker cattivo, diciamo. Gli aggressori cercano la monetizzazione di breve periodo, diciamo. Per loro fare un attacco distruttivo vuole dire bruciare un bersaglio che genera reddito». E poi c’è un aspetto di intelligence più inquietante. Mettendo il logo di una azienda più grande e famoso, i ricercatori di Trend Micro sono stati contattati da istituzioni governative attive nella sicurezza informatica che li hanno avvertiti della loro vulnerabilità. Se il camuffamento ha funzionato con loro - chiosa Federico Maggi - vuole dire che non solo i buoni ma anche i cattivi possono essere ingannati».
17,1 MILIONI DI MALWARE. Il numero dei malware totali che ha colpito l'Italia nel 2019 è stato di 17.120.526, l'Italia è settima al mondo. È quanto emerge dal nuovo report di Trend Micro che verrà diffuso