Mandiant pubblica una nuova ricerca su un insieme di strumenti di “attacco informatico eccezionalmente rari e pericolosi”, denominati Incontroller a cui fare attenzione. Incontroller include tre strumenti che consentono all’attaccante di inviare istruzioni a una varietà di diversi dispositivi inerenti al sistema di controllo industriale (ICS). Essi sono incorporati in differenti tipologie di macchinari in diverse industrie critiche (elettriche, fresatrici, presse industriali utilizzate in molti differenti settori produttivi, ecc).
Come attacca Incontroller
È possibile che ogni strumento possa essere utilizzato indipendentemente, o che l’attaccante possa utilizzare i tre strumenti insieme per attaccare un singolo ambiente. L’autore evidenzia che la funzionalità di Incontroller “è coerente con il malware utilizzato nei precedenti attacchi informatici da parte della Russia”.
Questi strumenti possono essere utilizzati per:
Fermare macchinari critici;
Sabotare processi industriali;
Disattivare i controlli di sicurezza per causare la distruzione fisica dei macchinari che potrebbe potenzialmente anche portare alla perdita di vita umane.
In guardia contro gli Incontroller
Di conseguenza, gli esperti di Mandiant ritengono che “Incontroller” rappresenti la più grande minaccia per l’Ucraina, gli Stati membri della NATO e altri che stanno rispondendo all’invasione russa dell’Ucraina.
L’opinione di Mandiant su Incontroller
Nathan Brubaker, Director, Intelligence Analysis, Mandiant Mandiant, in collaborazione con Schneider Electric, ha analizzato di recente una serie di nuovi strumenti di attacco focalizzati ai sistemi di controllo industriale (ICS). Lo abbiamo denominato Incontroller e sono realizzati per colpire specifici dispositivi di Schneider Electric e Omron, incorporati in diverse tipologie di macchinari utilizzati in differenti settori. Incontroller rappresenta una capacità di attacco informatico di eccezionale raritàe pericolosità, dopo STUXENT, INDUSTROYER e TRITON, come quarto malware focalizzato all’attacco ICS.
Incontroller è molto probabilmente un attaccante di tipo “State Sponsored” e possiede capacità di interrompere, sabotare e, potenzialmente, distruggere. Non abbiamo la possibilità di attribuire in definitiva il malware ma rileviamo che l’attività è coerente con l’interesse storico da parte della Russia nei confronti degli ICS. Incontroller pone un rischio critico per le organizzazioni che utilizzano questi dispositivi. Esse dovrebbero pertanto intraprendere azioni immediate per determinare se i dispositivi ICS presi di mira siano presenti nei propri ambienti. Poi iniziare a prevedere contromisure specifiche da parte del fornitore, metodi di rilevamento e hunting.
