Claroty ha condotto una ricerca che ha evidenziato come i CPS siano diventati uno tra gli obiettivi più ambiti dai criminali informatici grazie all’accesso diretto ai sistemi cyberfisici. Nel report, “Analyzing CPS Attack Trends”, il Team82 ha analizzato oltre 200 attacchi condotti da più di 20 gruppi di threat actor contro sistemi CPS in diversi settori industriali nell’arco di 12 mesi.
Gli attacchi contro i CPS
La ricerca mostra che l’82% degli attacchi contro i CPS coinvolge l’utilizzo di client basati sul protocollo Virtual Network Computing (VNC) per accedere da remoto ad asset esposti su Internet. Mentre nel 66% degli incidenti si è verificata la compromissione di interfacce uomo-macchina (HMI) o di sistemi SCADA (Supervisory Control and Data Acquisition) che controllano i processi industriali. Entrambe queste tipologie di dispositivi supervisionano i processi industriali in tempo reale.
Quali le conseguenze
Inoltre qualsiasi accesso o manipolazione illecita può causare conseguenze estremamente gravi per le organizzazioni e per le comunità che servono. Tra queste interruzioni dei servizi, danni fisici agli asset o rischi per la sicurezza dei lavoratori e dei cittadini. Molti di questi attacchi risultano, inoltre, relativamente semplici dal punto di vista tecnico. Non richiedono lo sfruttamento di vulnerabilità né una conoscenza approfondita dei dispositivi o dei protocolli impegnati.
Cosa dicono i dati
I dati hanno rivelato che gli attacchi condotti da questi gruppi contro i CPS sono stati in gran parte guidati da obiettivi politici o sociali. Coerenti con dinamiche spesso riconducibili a campagne di cyberattacco legate a interessi geopolitici nazionali. Alla luce delle tensioni di lunga data in Medio Oriente e della guerra tra Russia e Ucraina, il Team82 ha attribuito molti degli incidenti a gruppi di threat actor affiliati a Russia e Iran.
CPS, obiettivo dei criminali informatici
I principali risultati, infatti, dimostrano che:
L’81% degli attacchi condotti da gruppi affiliati all’Iran ha preso di mira organizzazioni negli Stati Uniti e in Israele.
Il 71% degli incidenti riconducibili a gruppi affiliati alla Russia ha preso di mira organizzazioni nei Paesi dell’Unione Europea (UE).
I Paesi dell’UE più colpiti da gruppi legati alla Russia sono stati Italia (18%), Francia (11%) e Spagna (9%).
Come si muovono i criminali informatici
Amir Preminger, CTO di Claroty e responsabile del Team82 La nostra ricerca evidenzia un’importante escalation nelle modalità con cui i criminali informatici si stanno infiltrando nei sistemi operativi che sostengono il funzionamento quotidiano della società.
Gli attaccanti utilizzano tecniche relativamente poco sofisticate per colpire settori critici: dalla manifattura alla sanità. Ambiti nei quali l’interruzione dei servizi potrebbe avere conseguenze gravi, se non addirittura pericolose. Alla luce di quanto emerso dalla ricerca, appare evidente la necessità di rafforzare le misure di sicurezza dei sistemi CPS. Le organizzazioni non possono più permettersi approcci alla cybersecurity poco rigorosi nella gestione e nella protezione di questi dispositivi.
Le misure da adottare per le organizzazioni responsabili di ambienti
Proteggere i dispositivi esposti su Internet. Verificare le configurazioni dei sistemi di tecnologia operativa (OT), dei dispositivi smart connessi e dei dispositivi dell’Internet of Medical Things (IoMT). Assicurandosi che vengano adottate adeguate misure di sicurezza per impedire l’enumerazione di questi dispositivi, sempre più spesso collegati a Internet.
Correggere configurazioni di progettazione o predefinite poco sicure. I responsabili della sicurezza devono prestare particolare attenzione alle credenziali predefinite o note per la loro debolezza. Inoltre modificarle tempestivamente quando i dispositivi vengono messi online. È, inoltre, fondamentale verificare la presenza di eventuali altre configurazioni non sicure. Poi risolvere qualsiasi criticità di sicurezza prima che i dispositivi vengano connessi alla rete.
Aggiornare i protocolli non sicuri. Poiché molti degli attacchi analizzati dal Team82 hanno sfruttato protocolli di progettazione poco sicuri, come VNC e Modbus, è importante che i responsabili della sicurezza effettuino un inventario degli asset connessi più sensibili e adottino protocolli di comunicazione adeguati.
Conoscere l’avversario. Comprendere le motivazioni e le tattiche dei gruppi di hacker. Nel caso di questa ricerca, in particolare degli hacktivisti, è fondamentale per individuare i papabili prossimi obiettivi all’interno di un determinato settore. Inoltre valutare se specifici asset CPS possano presentare livelli di esposizione simili a quelli di altre organizzazioni già compromesse.
