venerdì 22 marzo 2019

Hydro, il colosso norvegese dell'alluminio sotto attacco cyber

E' di qualche giorno fa (19 marzo) la notizia che una delle più grandi società di produzione di alluminio, la norvegese Hydro, abbia subito un attacco cyber.
L'attacco condotto attraverso l'uso di un ransomware, apparentemente mira ad ottenere un riscatto. 
Nel corso di una conferenza stampa il responsabile finanziario della società, Eivind Kallevik, ha annunciato che l'attacco è abbastanza grave.
Sembra che il virus non abbia avuto grosse conseguenze sulla produzione  (cosa alquanto difficile da credere!) infatti alcuni impianti sono stati disconnessi e altri sono stati attivati in modalità manuale.
La Norway's National Security Authority (NSM) incaricata di dare assistenza alla Hydro oltre che fornire aiuto ha in corso gli accertamenti del caso per individuare i responsabili dell'attacco. Il ransomware utilizzato è conosciuto col nome di LockerGoga ed è stato impiegato in combinazione con un attacco diretto contro il servizio di Active Directory. Ma è ancora troppo presto per essere sicuri, al momento si tratta infatti solo di ipotesi.

Supponendo che le prime ipotesi sul ransomware siano esatte, vediamo cosa ci dice TrendMicro su LockerGoga. Secondo la società di sicurezza informatica il ransomware LockerGoga ha fatto la sua apparizione di recente (gennaio), contro una società di consulenza ingegneristica francese, la Altran Technologies. La prima cosa che il malware fa una volta infettato un sistema, è cambiare le password degli utenti, rendendolo inaccessibile, quindi inizia a cifrare i file presenti nel sistema e invia sullo schermo un messaggio di richiesta di riscatto. L'impiego di sistemi diversi (dal pagamento del riscatto!) porteranno alla compromissione dei dati. Sembra che LockerGoga non abbia la capacità di diffondersi in rete a differenza dei suoi parenti WannaCry e Petya/NotPetya, invece ha la capacità di superare le difese messe in campo da molti sistemi di protezione (sandbox e machine learning). 

Alcune considerazioni:
Ancora una volta una grossa società è stata colpita, cosa che dimostra che il possedere (almeno teoricamente) grandi risorse non mette al riparo dal rischio. Ciò che occorre è una strategia di sicurezza e un impiego oculato delle risorse, umane e non.
La società produttrice di parti in alluminio occupa una grossa fetta del mercato europeo e americano (circa il 20 %), l'attacco ha avuto delle ripercussioni sul valore delle azioni ma i danni maggiori saranno presumibilmente dovuti alla necessità di rallentare o bloccare la produzione.  
Sembra che il ransomware non faccia uso di una catena di Comando e Controllo, e la cosa dunque farebbe pensare che il malware possa essere controllato dall'interno della rete stessa della Hydro.

Ancora una volta occorre evidenziare alcune problematiche che affliggono il nostro mondo, altamente informatizzato, ma ancora lontano dall'essere esente da problemi di tutti  i tipi.
La prima considerazione da fare, non legata al fatto in se, riguarda la velocità con cui si produce il software e si rilasciano nuove funzionalità, velocità che è andata sempre aumentando nel corso degli anni e che non depone certo a favore della buona esecuzione. 
La seconda riguarda la complessità: spesso, voler ricercare la semplicità di utilizzo da parte degli utenti (di tutti  i livelli, per esempio introducendo interfacce grafiche ecc.), ha portato ad un incremento esponenziale della complessità dei software (e dei sistemi in generale), complessità che, ancora una volta, è nemica del buon funzionamento.
La terza considerazione riguarda la generale mancanza di expertise nel campo della sicurezza informatica, evidenziata spesso in ambito Unione Europea ma che ancora non trova soluzione, se è vero infatti che sono aumentati i corsi universitari in sicurezza informatica è altrettanto vero che rimane una certa distanza tra queste ultime e il mondo industriale.
Infine, in molti paesi, la mancanza di finanziamenti pubblici del settore condiziona fortemente lo sviluppo di un tessuto di imprese capaci e pronte ad offrire i propri servizi di sicurezza a organizzazioni e società di piccole e medie dimensioni, limitando fortemente la capacità di crescita delle competenze a causa della mancanza di concorrenza.  
Occorrerebbe anche riflettere sulla crescita enorme delle società informatiche e cominciare ad interrogarsi sulla necessità di esigere da queste ultime una maggiore serietà professionale nel rilascio del software e dei sistemi.
Infine, ma non meno importante, è necessario iniziare a riflettere seriamente sulla invasività della informatica nel mondo attuale, non certo per cercare di limitarla, cosa ormai impossibile, ma per capire come limitare i danni in caso di attacco cyber e come poter garantire un sufficiente, alternativo, livello di comando e controllo non basato su tecnologie digitali.
Immagino già che qualcuno starà pensando: "Ecco, il ritorno di carta, penna o macchina da scrivere e servizio di fattorini... ma dove vive questo?", ebbene si, in alcuni casi la cosa potrebbe essere necessaria e per funzionare dovrebbe essere esercitata regolarmente per preservare un sapere che sta scomparendo. 

Alessandro Rugolo

Per approfondire:
- https://www.bbc.com/news/technology-47624207;
- https://www.bloomberg.com/news/articles/2019-03-19/hydro-says-victim-of-extensive-cyber-attack-impacting-operations-jtfgz6td;
- https://www.reuters.com/article/us-norsk-hydro-cyber-security/norway-say-hydro-cyber-attack-began-monday-evening-and-escalated-during-the-night-idUSKCN1R00TO?il=0;
- https://www.thelocal.no/20190322/norways-norsk-hydro-hit-by-ransom-cyber-attack.
- https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/what-you-need-to-know-about-the-lockergoga-ransomware

1 commento:

  1. Information security services Welcome to Euclid Security services, it is a reliable name in the cyber security consulting space. We offer Information security services and Managed security patch services.

    RispondiElimina