Kaspersky ha illustrato i prossimi sviluppi relativi alle minacce ai sistemi di controllo industriale, ai quali le aziende dovranno prepararsi nel 2023. Il team CERT ICS di Kaspersky include tra le minacce l’aumento della superficie di attacco dovuto alla digitalizzazione, attività di insider e criminali informatici volontari. Poi attacchi ransomware alle infrastrutture critiche, effetti tecnici, economici e geopolitici sulla qualità del rilevamento delle minacce e più potenziali vulnerabilità sfruttate dagli attaccanti.
Minacce e sistemi di controllo industriale
Queste previsioni del team CERT ICS Kaspersky si basano sull’esperienza collettiva nella ricerca di vulnerabilità, attacchi e incident response. A queste si aggiungono la visione individuale in merito ai principali fattori di cambiamento nel panorama delle minacce.
Nuovi rischi nel panorama delle minacce
Gli esperti Kaspersky prevedono un cambiamento nell’attività delle minacce persistenti avanzate (APT) contro le aziende industriali e i sistemi OT in nuovi settori e aree. I settori dell’economia (l’agricoltura, la logistica, le energie rinnovabili, l’energia) saranno probabile bersaglio di un maggior numero di attacchi il prossimo anno. Gli obiettivi tradizionali, come settore industriale militare e quello governativo, rimarranno invariati.
L’aumento degli attacchi
La superficie degli attacchi aumenterà anche a causa della digitalizzazione per una maggiore efficienza in IIoT e SmartXXX. Compresi i sistemi per la manutenzione predittiva e la tecnologia digital twin. Questa tendenza è supportata dalle statistiche sugli attacchi ai Computerized Maintenance Management System (CMMS) nella prima metà del 2022. I primi 10 Paesi che hanno subito attacchi a questi sistemi sono considerati Paesi con livelli di sicurezza più elevate. Tra questi in Europa ci sono Austria, Germania Paesi Bassi e Francia.
Le previsioni di Kaspersky su minacce e sistemi di controllo
I rischi di espansione della superficie di attacco sono legati anche agli elevati costi dei fornitori energetici e ai conseguenti aumenti dei prezzi dell’hardware. Questi fattori costringerebbero molte imprese ad abbandonare i piani di implementazione dell’infrastruttura on premise a favore di servizi cloud da parte dei fornitori terzi. Potrebbero incidere anche sui bilanci di alcuni IS.
Da dove arriva la minaccia
Le minacce possono provenire inoltre da unità di trasmissione e aggregati non controllati che possono essere bersagli o strumenti di attacco. Altri rischi sono l’intensificarsi di attività criminali per raccogliere le credenziali degli utenti, insider con motivazioni ideologiche e politiche o che collaborano con gruppi criminali, solitamente estorsori e APT. Questi insider possono essere attivi nelle strutture produttive, ma anche tra gli sviluppatori di tecnologia o i fornitori di prodotti e servizi.
La cooperazione nell’applicazione delle leggi
Il flusso geopolitico dei rapporti di fiducia, che hanno un effetto globale sullo stato della cybersecurity anche nel settore ICS, sarà più evidente nel 2023. Oltre alla crescita dell’attività degli hacktivist che “lavorano” per programmi politici interni ed esterni, si potrebbe anche assistere a un’estensione degli attacchi ransomware alle infrastrutture critiche.
Il peggioramento della cooperazione internazionale nell’applicazione della legge porterà a un aumento di attacchi informatici nei Paesi considerati avversari. Allo stesso tempo, le soluzioni alternative sviluppate a livello nazionale potranno anche portare a nuovi rischi. Ad esempio il software con errori di configurazione della sicurezza e facili vulnerabilità zero-day, rendendoli accessibili sia ai criminali informatici che agli hacktivist.
I potenziali rischi
Le aziende potrebbero trovarsi ad affrontare nuovi rischi. Come la diminuzione della qualità del rilevamento delle minacce a causa di interruzioni della comunicazione tra sviluppatori e ricercatori di sicurezza informatica in Paesi in conflitto. Ci si potrebbe anche trovare di fronte a una diminuzione della qualità delle informazioni sulle minacce. Questo porterebbe ad attribuzioni non supportate e tentativi governativi di controllare le informazioni su incidenti, minacce, e vulnerabilità.
Il ruolo crescente dei governi nei processi operativi delle imprese industriali, comprese le connessioni a cloud e servizi governativi, comporta ulteriori rischi per la sicurezza IT. Il rischio di fughe di dati riservati aumenta a causa del numero considerevole di dipendenti non qualificati nelle istituzioni governative. A questo si aggiungono una cultura e pratiche interne ancora in via di sviluppo per una divulgazione responsabile.
Tecniche e tattica per minacce e sistemi di controllo industriale
I ricercatori del CERT ICS di Kaspersky hanno elencato le principali tecniche e tattiche di cui si prevede la diffusione nel 2023.
- Pagine e script di phishing nascosti in siti legittimi.
- L’uso di programmi di distribuzione non funzionanti contenenti Trojan, patch e key generator per software di uso comune e specialistico.
- E-mail di phishing su eventi di attualità con argomenti drammatici, compresi eventi politici.
- Documenti rubati in precedenti attacchi ad aziende collegate o partner che vengono utilizzati come esca nelle e-mail di phishing.
- La diffusione di e-mail di phishing da caselle di posta elettronica di dipendenti e partner, compromesse e mascherate da corrispondenza di lavoro legittima.
Cosa potrebbe succedere
- Vulnerabilità zero-day, che verranno chiuse ancora più lentamente poiché gli aggiornamenti di sicurezza per alcune soluzioni diventano meno accessibili in alcuni mercati.
- Abuso di errori di configurazione di base (come l’utilizzo di password predefinite) e di facili vulnerabilità zero-day in prodotti di “nuovi” fornitori, compresi quelli locali.
- Attacchi ai servizi cloud.
- Utilizzo di errori di configurazione nelle soluzioni di sicurezza, ad esempio quelli che disattivano una soluzione antivirus.
- Utilizzo di un servizio cloud popolare come CnC. Anche dopo l’identificazione di un attaccante, la vittima potrebbe non essere in grado di bloccare gli attacchi perché importanti processi aziendali potrebbero dipendere dal cloud.
- Sfruttamento di vulnerabilità in software legittimi, ad esempio, per aggirare la sicurezza del nodo finale.
- La diffusione di malware tramite supporti rimovibili per superare le lacune dell’aria.
- L’importanza dei trend geopolitici
Evgeny Goncharov, Head di ICS CERT Kaspersky
Nel 2022 abbiamo osservato che gli incidenti di cybersecurity sono stati numerosi e hanno causato molti problemi a proprietari e operatori ICS. Tuttavia, non abbiamo assistito a cambiamenti improvvisi o catastrofici nel panorama generale delle minacce, né a cambiamenti difficili da gestire, nonostante i numerosi titoli riportati dai media.Siamo entrati in un’epoca in cui i cambiamenti più significativi nel panorama delle minacce ICS sono determinati principalmente dalle tendenze geopolitiche e dai conseguenti fattori macroeconomici. I criminali IT sono cosmopoliti. Tuttavia, prestano attenzione alle tendenze politiche ed economiche mentre inseguono facili profitti e garantiscono la loro sicurezza personale.