Petya è solo l'ultimo di una lunghissima fila. Il ransomware che, nel primo pomeriggio del 27 giugno 2017, ha messo KO le reti aziendali di diverse realtà produttive in Ucraina, Paesi Bassi, Francia, Spagna e Regno Unito è una delle tante infezioni malware accomunate da un particolare solo apparentemente irrilevante: hanno tutte avuto origine in Ucraina. Il Paese dell'Est Europa, infatti, sembra essere la vittima designata (e preferita) di un gruppo di hacker che ha la sua base operativa (probabilmente) in Russia.
E proprio questo gruppo di cybercriminali, secondo le analisi condotte da esperti nel campo della sicurezza informatica, utilizza l'Ucraina, le sue aziende e le sue infrastrutture strategiche a mo' di banco di prova per attacchi di più ampia portata. Potrebbe esserne un esempio il malware Industroyer (conosciuto anche con il nome di CrashOverRide) che, a cavallo dell'inverno 2016, ha messo in ginocchio la rete elettrica ucraina, provocando un blackout e lasciando al buio (e al freddo) milioni di persone.
Secondo gli esperti di sicurezza di ESET e di Dragos, due delle maggiori società attive nel settore della cybersecurity, Industroyer è la minaccia più rilevante per grandi sistemi industriali dai tempi di Stuxnet, il malware ideato dall'intelligence statunitense e israeliana per sabotare il piano di sviluppo nucleare dell'Iran. Insomma, un malware ad alto indice di pericolosità, che potrebbe ben presto tornare a far parlare di sé anche al di fuori dei confini ucraini.
Come funziona Industroyer
A differenza di Stuxnet e di altri malware sviluppati per colpire reti industriali, CrashOverRide (o Industroyer che dir si voglia) non sfrutta alcuna falla né vulnerabilità presente nei codici sorgente dei programmi di gestione della rete elettrica. Il blackout, invece, è provocato agendo su quattro protocolli di comunicazione ideati alcuni decenni fa e alla base del funzionamento del sistema elettrico nazionale ucraino. Gli hacker, in particolare, hanno infettato gli SCADA di alcune sottostazioni elettriche in Ucraina, causando dei malfunzionamenti che, a cascata, hanno poi provocato il blackout.
Industroyer, per essere più precisi, agisce a mo' di backdoor: i cyber criminali possono accedere indisturbati ai sistemi informatici infettati, controllandone funzionalità e funzionamento. Il malware che ha colpito il sistema elettrico ucraino, inoltre, è realizzato in modo da non poter essere rilevato e non lasciare alcuna traccia una volta che ha completato il proprio lavoro.
Solo la punta dell'iceberg
L'analisi del malware e del suo comportamento ha fatto emergere dei particolari tutt'altro che rassicuranti per chi è chiamato a gestire SCADA e sistemi di distribuzione industriale in tutto il mondo. Industroyer, infatti, ha la "potenza di fuoco" necessaria per generare blackout molto più prolungati e persistenti. Inoltre, si tratta di un malware "modulare", semplice da modificare e adattare a realtà produttive differenti rispetto a quella ucraina.
Per farla breve, Industroyer potrebbe essere modificato con estrema semplicità per attaccare reti elettriche in Europa, Medio Oriente e parte dell'Asia. Ma non finisce qui: il malware potrebbe essere modificato per attaccare anche altre infrastrutture critiche come la rete di distribuzione del gas, il sistema di gestione dei trasporti, bacini idrici ed idroelettrici e molto altro ancora.