Ecco cosa sappiamo degli attacchi di irrorazione di password condotti da hacker iraniani
La crescente tensione tra Iran e Stati Uniti è comprensibilmente una notizia di prima pagina. La situazione è estremamente complessa e nessuno è davvero sicuro di quello che succederà dopo. Per ora, le cose sono relativamente pacifiche, ma sappiamo tutti che certe dita potrebbero benissimo passare sopra determinati pulsanti rossi e possiamo solo sperare che il buon senso prevarrà alla fine. Va detto, tuttavia, che mentre la tensione nel mondo reale potrebbe allentarsi, online, è improbabile che lo scambio di attacchi tra Iran e Stati Uniti si interrompa presto.
Ieri Dragos Inc., un apparato di sicurezza informatica incentrato sulla protezione dei sistemi di controllo industriale (ICS), ha pubblicato un rapporto che illustra in dettaglio le attività di undici gruppi di hacker collegati all'Iran e, più specificamente, i loro attacchi contro la rete elettrica degli Stati Uniti. Dimostra che sebbene tendano a non attirare troppa attenzione da parte dei media, gli attori delle minacce sostenute dalla nazione attaccano continuamente le risorse ICS di altri paesi.
Ciononostante, va detto che i disaccordi nel mondo reale tra Iran e America hanno avuto un impatto sulle attività degli attori delle minacce. Gli undici gruppi di hacking discussi nel rapporto di Dragos sono noti per aver attaccato i sistemi ICS in tutto il mondo, ma gli esperti hanno notato che l'anno scorso la maggior parte di essi ha puntato gli occhi sugli Stati Uniti e sull'infrastruttura critica per la generazione e la distribuzione di elettricità.
Nessuna grave interruzione ancora
Secondo il rapporto, il primo attacco di malware noto che ha causato un blackout è avvenuto nel dicembre 2015 in Ucraina e, fortunatamente, ci sono poche prove che suggeriscono che gli equipaggi iraniani monitor di Dragos stiano montando il secondo. I gruppi sono effettivamente riusciti a infiltrarsi nelle reti di aziende responsabili della fornitura di elettricità e hanno sottratto alcuni dati sensibili. A questo punto, tuttavia, devono ancora avvicinarsi al raggiungimento del livello di accesso che consentirebbe loro di interrompere la fornitura di elettricità per un gran numero di famiglie. Questo non significa che non possa mai accadere, comunque.
Tieni presente che non stiamo parlando di criminali informatici autodidatti con un debole per le felpe con cappuccio e le maschere di Guy Fawkes. Spesso riferiti alle minacce persistenti avanzate (APT), le squadre di hacking sponsorizzate dallo stato sono composte da specialisti esperti che hanno quasi risorse illimitate per compromettere i loro obiettivi. Gli esperti di Dragos hanno notato che colpire con successo una parte vitale della rete elettrica americana sarà estremamente difficile, ma i curriculum dei gruppi APT iraniani discussi nel rapporto suggeriscono che potrebbero benissimo essere in un urlo.
Si sono fatti un nome attaccando grandi organizzazioni in tutto il mondo e la maggior parte dei loro obiettivi precedenti sta lavorando nel settore petrolifero e del gas, un'altra parte vitale dell'economia mondiale che spende ingenti somme di denaro in sicurezza. Gli attori delle minacce sono noti per il loro uso di attacchi alla catena di approvvigionamento per infiltrarsi in una rete e, una volta dentro, spesso implementano strumenti sviluppati su misura progettati specificamente per il sistema ICS mirato. A volte, tuttavia, non si tratta solo di raffinatezza all'avanguardia.
La spruzzatura della password e le VPN prive di patch possono talvolta lasciare scoperte le infrastrutture critiche
Anche Andy Greenberg di Wired ha trattato il rapporto di Dragos e si è concentrato sulle attività di due degli APT: Magnallium e Parisite. Per tutto il 2019, i due equipaggi hanno lavorato in tandem per attaccare varie compagnie elettriche e compagnie petrolifere e del gas negli Stati Uniti.
Per raggiungere il loro obiettivo, i membri del gruppo parigino hanno sfruttato le vulnerabilità in un client VPN (Virtual Private Network) senza nome utilizzato dai loro obiettivi. Il magnallium, d'altra parte, ha fatto ricorso alla spruzzatura della password. In un attacco a spruzzo di password, gli hacker prendono l'indirizzo e-mail di un utente (in questo caso, un dipendente di una società di servizi elettrici) e lo usano in combinazione con una selezione di password semplici e facili da indovinare per provare ad accedere il sistema mirato. Poiché così tante persone usano password semplici e facili da indovinare, alcuni dei tentativi hanno esito positivo.
La cosa interessante di questo è che non è necessario essere un hacker sofisticato e sponsorizzato dallo stato per sfruttare una VPN vulnerabile o organizzare un attacco a spruzzo di password. In effetti, queste tecniche sono piuttosto rumorose e di solito sono riservate agli imitatori di Guy Fawkes che indossano la felpa. Tuttavia, Parisite e Magnallium, due APT con un sacco di soldi e risorse, hanno deciso di usarli. Perché dovrebbero farlo?
Perché pensano che questi attacchi avranno successo. Questo è un pensiero preoccupante.
A meno che non stiamo parlando di una vulnerabilità zero-day, lo sfruttamento di una VPN non sicura significa che l'utente ha configurato erroneamente la rete o trascurato un aggiornamento di sicurezza. E per quanto riguarda l'irrorazione delle password, come abbiamo già detto, è possibile solo perché indovinare le password delle persone non è così difficile come dovrebbe essere. In altre parole, gli APT iraniani stanno scommettendo su persone che commettono semplici errori di sicurezza. Le persone in questione sono responsabili di parti vitali della rete elettrica degli Stati Uniti.
Ciò dovrebbe far scattare alcune campane di allarme per i responsabili delle organizzazioni che potrebbero essere attaccate. Molto è in gioco e la sicurezza (sia fisica che online) deve essere una priorità. È improbabile fermare gli attacchi implacabili degli hacker sostenuti dalla nazione, ma le persone responsabili della rete elettrica degli Stati Uniti possono almeno sbarazzarsi dei frutti bassi.
