Allarme CrashOverride: ecco il malware che attacca le reti elettriche

Nuovo allarme tecnologico nel mondo: un attacco informatico al gestore ucraino di rete elettrica Ukrenergo è riuscito a disconnettere una sottostazione di trasmissione provocando un blackout di un’ora per alcune migliaia di utenti a Kiev. Il malware è stato specificamente progettato per interrompere il normale funzionamento di una rete elettrica in modo automatizzato. Il fatto risale allo scorso dicembre, ma la preoccupazione resta alta: potrebbe essere usato ancora contro gestori dell’energia di altri Paesi.

Lo scorso dicembre un attacco informatico al gestore di rete elettrica in Ucraina Ukrenergo è riuscito a disconnettere una sottostazione di trasmissione provocando un blackout di un’ora per alcune migliaia di utenti a Kiev. L’episodio non ha avuto molta risonanza all’epoca, perché ‘oscurato’ da un precedente attacco avvenuto sempre in Ucraina esattamente un anno prima, nel dicembre 2015, che aveva tolto la corrente per almeno sei ore a oltre 230mila residenti della regione di Ivano-Frankivsk. Il secondo attacco, però, avrebbe dovuto preoccupare molto di più rispetto al primo.

Il malware utilizzato è stato infatti specificatamente progettato per interrompere il normale funzionamento di una rete elettrica in modo automizzato e potrebbe essere utilizzato ancora anche contro gestori dell’energia di altri Paesi, soprattutto europei, mediorientali o asiatici (e, con alcuni mirati aggiustamenti, anche americani). Secondo l’analisi di Dragos (società specializzata nella difesa di sistemi di controllo industriale fondata da Robert M. Lee, veterano della cyberguerriglia nel governo degli Stati Uniti d’America e poi passato all’industria) il malware usato in Ucraina nel dicembre 2016 – battezzato CrashOverride – sarebbe il primo del genere progettato e utilizzato per attaccare reti elettriche. Ecco quanto spiegato da Robert M. Lee a ‘La Stampa’: “BlackEnergy 3 (il malware utilizzato nell’attacco del 2015, n.d.r.) è stato sfruttato per ottenere l’accesso alle reti elettriche ma il malware non ha causato l’attacco vero e proprio e l’interruzione del servizio. Ha dato accesso agli operatori umani che hanno usato gli stessi sistemi della rete elettrica contro sé stessa, in un approccio manuale. Invece nel 2016 CrashOverride ha codificato dentro il malware quella conoscenza relativa a come rivoltare i sistemi contro loro stessi”.

Dragos ritiene che dietro all’attacco si celi un gruppo collegato agli hacker responsabili dell’attacco in Ucraina nel 2015, gruppo identificato da altri come Sandworm. Stando ai report di varie società, si tratterebbe di hacker russi, anche se non ci sono prove definitive sulla loro identità. Il nome dato da Dragos è Electrum.

Photo credits: Twitter