Il commento di Andrea Saturnino, ICT Security Specialist di Sababa Security ai recenti attacchi a Suzuki e Luxottica
Nell’ultimo periodo sono due i casi di attacchi ransomware famosi per aver creato un grosso danno per blocchi di produzione e furto di dati: si tratta di Suzuki e Luxottica.
Lo stabilimento indiano della casa automobilistica Suzuki, dal 10 maggio ha temporaneamente sospeso la produzione a causa di un attacco ai sistemi informatici dell’azienda, attacco che ha causato anche un furto di dati. Suzuki non ha voluto rilasciare dettagli in merito e di conseguenza non è ancora chiaro se l’attacco sia avvenuto tramite ransomware oppure tramite un altro vettore, ma l’interruzione della produzione negli impianti collocati nel subcontinente, ha portato ad una perdita totale stimata di 20 000 veicoli e un danno potenziale di milioni di euro.
L’attacco a Suzuki non è stato però l’unico avvenuto contro un impianto industriale. Luxottica, infatti, è salita agli onori della cronaca a causa della pubblicazione di alcuni dati su dei forum utilizzati per la vendita e la condivisione di dati sensibili, solitamente frutto di attacchi informatici.
È la stessa azienda a confermare che i dati dei 70 milioni di clienti pubblicati sui forum sono suoi e che sono il risultato dell’esfiltrazione di dati subita nel 2020 da parte di un’azienda terza che aveva accesso ai dati sensibili, aggiungendo che la sua rete informatica non è stata violata e che, quindi, lato loro non c’è stata un’esfiltrazione diretta di dati.
Con il precedente attacco, avvenuto nell’agosto del 2020, sono stati rubati i dati di circa 800 mila pazienti di Eyemed e Lenscrafters, aziende del gruppo Luxottica, e, un mese più tardi, un altro attacco ha causato il blocco della produzione in Italia e in Cina, nonché il furto di ulteriori dati.
Da un’analisi effettuata da alcuni esperti sui dati pubblicati, si evince come questi contengano informazioni riservate quali indirizzi mail, nomi, cognomi e indirizzi, oltre che date di nascita.
Secondo un report di IBM, nel 2022 le aziende manifatturiere sono state le più colpite a livello globale dagli attacchi ransomware, registrando il 24% degli attacchi totali. La predisposizione dei gruppi malevoli verso questa tipologia di aziende è dovuta principalmente alla bassa tolleranza che queste hanno contro i blocchi di produzione, rendendole quindi il bersaglio ideale per l’estorsione di denaro.
Proprio per questo, i gruppi criminali hanno iniziato a sviluppare malware pensati appositamente per sistemi industriali, come ad esempio COSMICENERGY. Si tratta di un malware sviluppato appositamente per attaccare le infrastrutture industriali, dette OT, che utilizza come vettore di attacco il protocollo IEC 60870-5-104 e causa interruzioni di fornitura dell’energia elettrica.
Questo malware è stato rilevato nella forma attuale nel 2021 ed è in grado di effettuare azioni di reconnaissance all’interno della rete della vittima, cercando database MYSQL da attaccare. Una volta trovati, il malware attacca i database e guadagna l’accesso ai cosiddetti RTU (remote terminal unit), che sono utilizzati per la distribuzione della corrente elettrica all’interno delle reti e che, se controllati, possono portare all’interruzione della stessa.
Secondo alcuni analisti, COSMICENERGY potrebbe essere correlato all’azienda russa Rostelecom-Solar, che ha ricevuto nel 2019 dei fondi statali per la formazione di esperti di sicurezza informatica in ambito OT. Non è però certo che COSMICENERGY sia stato sviluppato per scopi malevoli, ma potrebbe essere stato sviluppato come tool per la formazione di esperti e, in un secondo tempo, essere stato rubato da un attore malevolo.
