In seguito all’alert diffuso dalla CISA, Mandiant presenta una nuova ricerca su un insieme di strumenti di “attacco informatico eccezionalmente rari e pericolosi”, denominati “INCONTROLLER”.
INCONTROLLER include tre strumenti che consentono all’attaccante di inviare istruzioni a una varietà di diversi dispositivi inerenti al sistema di controllo industriale (ICS), incorporati in differenti tipologie di macchinari in diverse industrie critiche (ad esempio le centrali elettriche, fresatrici, presse industriali utilizzate in molti differenti settori produttivi, ecc). È possibile che ogni strumento possa essere utilizzato indipendentemente, o che l’attaccante possa utilizzare i tre strumenti insieme per attaccare un singolo ambiente.
Questi strumenti possono essere utilizzati per:
- Fermare macchinari critici;
- Sabotare processi industriali;
- Disattivare i controlli di sicurezza per causare la distruzione fisica dei macchinari che potrebbe potenzialmente anche portare alla perdita di vita umane.
L’autore evidenzia che la funzionalità di INCONTROLLER “è coerente con il malware utilizzato nei precedenti attacchi informatici da parte della Russia”.
Di conseguenza, gli esperti di Mandiant ritengono che “INCONTROLLER” rappresenti la più grande minaccia per l’Ucraina, gli Stati membri della NATO e altri Stati che stanno rispondendo attivamente all’invasione russa dell’Ucraina”.
Nathan Brubaker, Director, Intelligence Analysis, Mandiant dichiara: “Mandiant, in collaborazione con Schneider Electric, ha analizzato di recente una serie di nuovi strumenti di attacco focalizzati ai sistemi di controllo industriale (ICS), che abbiamo denominato INCONTROLLER, realizzati per colpire specifici dispositivi di Schneider Electric e Omron, incorporati in diverse tipologie di macchinari utilizzati in differenti settori. INCONTROLLER rappresenta una capacità di attacco informatico di eccezionale rarità e pericolosità, dopo STUXENT, INDUSTROYER e TRITON, come quarto malware focalizzato all’attacco ICS.
INCONTROLLER è molto probabilmente un attaccante di tipo “State Sponsored” e possiede capacità di interrompere, sabotare e, potenzialmente, distruggere. Non abbiamo la possibilità di attribuire in definitiva il malware ma rileviamo che l’attività è coerente con l’interesse storico da parte della Russia nei confronti degli ICS. INCONTROLLER pone un rischio critico per le organizzazioni che utilizzano questi dispositivi. Le organizzazioni dovrebbero pertanto intraprendere azioni immediate per determinare se i dispositivi ICS presi di mira siano presenti nei propri ambienti e iniziare a prevedere contromisure specifiche da parte del fornitore, metodi di rilevamento e hunting”.
Informazioni aggiuntive
- Mandiant ha iniziato a condurre le proprie analisi su INCONTROLLER all’inizio del 2022, in collaborazione con Schneider Electric;
- INCONTROLLER è paragonabile a TRITON, che ha tentato di disattivare un sistema di sicurezza industriale nel 2017; INDUSTROYER, che ha causato un’interruzione di corrente in Ucraina nel 2016; e STUXNET, che ha sabotato il programma nucleare iraniano intorno al 2010;
- Mandiant sta, inoltre, tracciando due strumenti aggiuntivi che possono essere collegati a questa attività di minaccia, che interessano sistemi basati su Windows;
- È possibile che questi strumenti possano essere utilizzati per sostenere il ciclo di vita di un attacco INCONTROLLER, sfruttando i sistemi basati su Windows in ambienti IT od OT.
- La ricerca completa, insieme a consigli di mitigazione e rilevamento per le organizzazioni, può essere consultata qui: https://www.mandiant.com/resources/incontroller-state-sponsored-ics-tool