centrali elettriche
Sicurezza

Si chiama BlackEnergy il malware che ha spento tre centrali ucraine

Nella notte tra il 23 e il 24 dicembre una minaccia informatica ha lasciato senza elettricità centinaia di migliaia di persone. Ecco in che modo

Può un virus informatico mietere più danni della mano dell’uomo? Per molti no, si tratta solo di fantascienza ma la realtà è ben diversa. Con la maggioranza delle infrastrutture del mondo connesse ad un sistema di rete, è plausibile che hacker e criminali digitali sfruttino le falle nei sistemi per intrufolarsi e causare guasti rilevanti. L’ultimo esempio risale a qualche giorno fa, quando in Ucraina la diffusione di un malware, ovvero di un’infezione fatta di bit, ha causato lo spegnimento di almeno tre impianti elettrici in diverse regioni, causando un blackout per centinaia di migliaia di persone.

L’azienda che ha lanciato per prima l’allarme è stata la Prykarpattyaoblenergo, che fornisce elettricità ad un totale di 538 mila clienti, molti dei quali residenti nella zona ovest del paese. Oltre a questa però, anche altri due operatori nazionali sarebbero stati colpiti dallo stesso malware, il cui codice è stato analizzato da un paio di agenzie di sicurezza. Tra queste c’è iSight Partners che ha confermato di aver ottenuto una copia del virus e di averne identificato la presenza su altre centrali. Una notizia che mette in guardia, per la prima volta in maniera concreta, su quel tipo di panorama profetizzato da anni da ricercatori ed esperti: un attacco informatico può mettere in ginocchio interi processi industriali.

Energia nera

Un’altra compagnia informatica, Eset, che produce anche un software antivirus comune per computer, ha dato un nome al malware ucraino. Si tratta di un’evoluzione di BlackEnergy, scoperto per la prima volta nel 2007 e aggiornato un paio di anni fa per consentire una serie di “funzioni” di attacco avanzate, come l’abilità di rendere inutilizzabili i computer infettati e, più di recente, abilitato a distruggere e rendere inaccessibili intere sezioni degli hard-disk e a sabotare sistemi di controllo industriali. “Il malware è un file a 32-bit eseguible (.exe) per Windows con natura modulare. Ciò indica che è parte di un malware più grande” – ha spiegato Motherboard che ha intervistato Robert M. Lee, ex addetto alle operazioni di cyber warfare dell’Air Force statunitense e fondatore di Dragos Security.

Come si è intrufolato

Ma come può un virus, purché potente, sorpassare le difese di una serie di stazioni elettriche connesse ad un pannello centrale? Stando alle rilevazioni di Eset attraverso un file di Microsoft Office. I criminali avrebbero inserito porzioni di BlackEnergy in alcune macro funzioni di un documento Excel, che all’apertura ha permesso la divulgazione dell’infezione. Se fosse vero ci sarebbe da riflettere sulle reali capacità difensive di apparati che forniscono energia a milioni di persone, talmente fragili da poter essere messi fuori gioco da un semplice file Excel, con conseguenze catastrofiche su intere popolazioni.

Mosca di mezzo

In passato il malware BlackEnergy è stato collegato alle azioni di sabotaggio del gruppo Sandworm, localizzato in Russia. Ciò ha spinto l’agenzia di sicurezza nazionale, il Security Service of Ukraine (SBU) ad accusare lo stesso team dello spegnimento alle stazioni elettriche, pur senza prove evidenti. Eppure la presenza di Sandworm in Ucraina non è una novità: nel 2014 il gruppo si è reso protagonista di una serie di attacchi informatici a danno di agenzie legate al governo, oltre che a infrastrutture della Nato e di altri soggetti europei e statunitensi. 

© Riproduzione Riservata

Commenti