Innovazione

Shamoon, ecco l’arma hacker che ha colpito Saipem

di

Ecco come Saipem è stata davvero aggredita. L’analisi di Umberto Rapetto, generale GdF in congedo, già comandante del GAT Nucleo Speciale Frodi Telematiche

L’arma che ha colpito Saipem ha un nome. È stato lo stesso colosso dell’ingegneria nel settore petrolifero a comunicare ufficialmente che l’incidente informatico è da attribuire a “Shamoon”, un malware che da anni perseguita i protagonisti dello scenario energetico.

L’ordigno virtuale ha una significativa capacità distruttiva e nel tempo ha conosciuto mutazioni volte a modificarne la struttura (così da renderlo meno facilmente riconoscibile ai prodotti antivirus costretti a “inseguire” le infinite ulteriori varianti) e a incrementarne l’aggressività.

Questo insieme di istruzioni venefiche che avrebbero radice iraniana è stato rilevato – almeno il ceppo originario – il 12 agosto 2012 e qualcuno lo ha anche etichettato come DistTrack. La sua prima “applicazione” pratica risale proprio a quell’estate e a farne le spese era stato il gigante dell’oro nero Saudi Aramco che nella circostanza vide fuori uso oltre 30mila stazioni di lavoro.

Una rielaborazione del medesimo virus ha nuovamente mandato al tappeto il sistema informatico di Aramco nel 2016, sfruttando sempre la favorevole condizione di un non tempestivo aggiornamento del sistema operativo Windows e di una inadeguata protezione contro il rischio di simili infezioni.

La tipologia di insidia era quindi nota tecnicamente (al netto dell’evoluzione quasi fisiologica della minaccia) e l’universo di Aramco e dei suoi partner era considerato un potenziale habitat per quel genere di aggressione.

Per quanto le informazioni sull’accaduto siano ancora poche e sia ovvio che non ci si possa aspettare la divulgazione di dettagli, l’ingrediente “Aramco” comprova la validità dell’approccio analitico (pur teorico) che aveva portato – in un mio precedente articolo su Start Magazine – a redigere una lista di possibili indizi utili ad una eventuale ricostruzione dei fatti.

Anche se c’è chi parla di un 10 per cento di computer in difficoltà, pare che il problema non abbia fortunatamente avuto riverberazioni operative e che le attività di contenimento delle conseguenze e di ripristino della normalità siano state tempestive ed efficaci.

Per capire cosa sia successo (e per trarne i dovuti insegnamenti) vale la pena prendere spunto dalle informazioni messe a disposizione da Virus Total, un sito web che – alimentato da un reggimento di esperti e di appassionati – fornisce elementi di conoscenza sulle “infezioni” che possono affliggere apparati tecnologici di ogni sorta.

Lunedì scorso – in concomitanza con l’annuncio del riscontrato problema da parte di Saipem – un utente con indirizzo IP (ossia il codice identificativo che costituisce la “targa” di chiunque circoli su Internet) geograficamente riconducibile all’Italia ha “caricato” sul portale Virus Total un campione di una versione finora sconosciuta del malware Shamoon. In pratica il sito somiglia ad una specie di laboratorio analisi cui siamo abituati nella nostra vita quotidiana, ma chi vi si presenta consegna non solo il flaconcino virtuale da analizzare ma redige un suo studio minuzioso e lo sottopone alla comunità digitale perché possa dar luogo ad ulteriori approfondimenti e verifiche. L’utilità di una simile iniziativa è indiscutibile perché proprio sulla condivisione delle conoscenze e sulla cooperazione devono essere incardinati gli sforzi per contrastare gli attacchi informatici.

Il giorno successivo, sul medesimo sito, un utente presumibilmente proveniente dall’India ha “depositato” altri campioni facilitando ricerche ed esami e agevolando il non agevole percorso per l’individuazione di contromisure.

Il malware in questione è un “wiper”, ovvero un programma che “spazzola” via i dati contenuti nei file che riesce a raggiungere. C’è chi dice che le informazioni vengono semplicemente rese inaccessibili con un procedimento crittografico che cifra i dati (dinamica che lascerebbe spazio ad una eventuale operazione a ritroso di decifrazione), ma altri ricercatori sono convinti che le più recenti versioni di questo virus diano luogo a cancellazioni e sostituzioni dei contenuti originali con banali sovrascritture eseguite con bit casuali privi di alcun significato.

L’innesco della contaminazione è la posta elettronica, veicolo ideale per arrivare a colpire il bersaglio. Spesso distrazione e “insostenibile leggerezza” (non di Milan Kundera, ma degli utenti) sono il tallone d’Achille anche delle organizzazioni maggiormente strutturate sul profilo della sicurezza e episodi di questo genere testimoniano l’importanza di una capillare opera di sensibilizzazione a tutti i livelli (dal top management all’ultimo impiegato) per impermeabilizzare il sistema nervoso elettronico di qualunque impresa o ente.

Il giorno precedente alla comunicazione dell’inconveniente da parte di Saipem, Symantec – uno dei leader tra i produttori di software antivirus – aveva rilevato un analoga situazione su un altro importante sistema informatico appartenente ad una società di ingegneria operante negli Emirati Arabi. Quasi contestualmente il Dubai Electronic Security Center (DESC) aveva pubblicato una sorta di allerta concernente proprio la possibilità di un attacco del genere.

Purtroppo la conoscenza di un ipotetico problema non viene rapidamente condivisa: una delle più efficaci opportunità di difesa è certo data dal sapere che altrove (poco importa se dall’altro capo del mondo) si è verificato un attacco o un semplice tentativo.

Dettagli sul modus operandi della minaccia (il “cosa” e il “come”) e individuazione delle “rampe di lancio” (il “chi” e il “da dove”) possono consentire l’adozione di iniziative corrette e puntuali, scongiurando il rischio che azioni maligne vadano a segno. Esistono piattaforme che già lo fanno (si pensi alla britannica OneFirewall) e che funzionano come il sigillante delle finestre, dove infissi e vetri sono i prodotti di difesa già installati e in cui manca solo qualcosa che elimini gli ultimi spifferi e avvisi immediatamente gli altri aderenti al network anche se rappresentati da aziende di settori totalmente diversi.

La partita della sicurezza informatica si vince solo con la cultura (inutili convegni a parte, si fa davvero poco) e con una sorta di solidarietà che deve innestarsi nel troppo vasto (e arido) contesto imprenditoriale e istituzionale.

I momenti di difficoltà servono proprio per rinsaldare le fila e per ripartire con sempre maggiore determinazione nella consapevolezza che purtroppo le sorprese non finiranno mai.

La vicenda deve far riflettere anche chi si tiene debitamente alla larga dalle questioni tecniche. Un ragionamento d’obbligo si deve imperniare sulla cosiddetta “trigger date”, ovvero sulla data in cui il malware preme il suo grilletto virtuale per colpire la vittima. Shamoon si avvale di questo meccanismo: non entra subito in funzione ma emula le bombe ad orologeria, riservandosi di agire solo quando il calendario ha raggiunto un determinato appuntamento… In questo modo guadagna tempo per assicurarsi la massima diffusione dell’infezione e sincronizza l’esplosione virtuale ottimizzando il risultato.

Quanti, in giro per il pianeta, hanno simili istruzioni all’interno dei propri sistemi e ritengono che il problema sia solo in casa d’altri?

 

ISCRIVITI ALLA NOSTRA NEWSLETTER

Iscriviti alla nostra mailing list per ricevere la nostra newsletter

Iscrizione avvenuta con successo, ti dovrebbe arrivare una email con la quale devi confermare la tua iscrizione. Grazie, il tuo Team Start Magazine

Errore

Articoli correlati