Le guerre informatiche le vincono i cattivi
di Gianluca Cicinelli
La vulnerabilità delle infrastrutture energetiche dagli attacchi informatici si è rivelata in tutta la sua pericolosità con l’attacco hacker all’oleodotto Colonial Pipeline. E’ uno dei più grandi gasdotti degli Stati Uniti, trasporta benzina raffinata e carburante per aerei dal Texas lungo la costa orientale fino a New York, serve quasi la metà del carburante distribuito agli automobilisti, ed è stato costretto a chiudere dopo essere stato colpito da un attacco ransomware.
Un ransomware è un tipo di codice malevolo che blocca il sistema o cifra i file dll’utente vittima dell’attacco chiedendo poi un riscatto per rimuovere la limitazione. Adesso l’oleodotto è tornato in funzione ma l’azienda ha dovuto pagare 5 milioni di dollari di riscatto agli autori dell’attacco. Una decisione controversa quella di cedere ai pirati, foriera di conseguenze per quanto riguarda la sicurezza informatica non soltanto negli Stati Uniti ma anche in Italia, in tutti i Paesi che ancora non hanno preso misure adeguate per proteggere gangli vitali nella dinamica delle nazioni come l’approvvigionamento energetico.
Nelle ore immediatamente successive all’attacco la società è stata costretta a interrompere l’erogazione di carburante, gli automobilisti hanno cercato in tutti i modi di fare comunque il pieno e i prezzi della benzina in Georgia e in pochi altri stati sono aumentati da 8 a 10 centesimi al gallone in due giorni, un fenomeno che accade di solito soltanto in previsione di grandi sconvolgimenti naturali, come gli uragani, che costringono le raffinerie a chiudere. In poche ore nella Carolina del Nord quasi tutte le stazioni di servizio hanno finito il carburante. Il gasdotto preso in ostaggio può trasportare circa tre milioni di barili di carburante al giorno per oltre 5.500 miglia lungo la costa est. Secondo l’Fbi la banda di hacker responsabile dell’impresa fa riferimento a DarkSide, che da parte sua, tramite la società di sicurezza informatica Intel 471, ha affermato di aver perso l’accesso alla parte pubblica del suo sistema online, inclusi il blog e il server di pagamento, nonché i fondi, a causa di un intervento dell’intelligence statunitense effettuato su pressione del Presidente Biden.
Per liberare i sistemi informatici, Colonial Pipeline ha pagato agli estorsori di DarkSide 75 Bitcoin, ovvero circa 5 milioni di dollari e subito dopo ha riaperto i suoi impianti di distribuzione. Una decisione controversa, perchè se da una parte ha permesso a milioni di automobilisti di riprendere a spostarsi, e alla Colonial di tornare a fare profitti, dall’altra crea un precedente che mina la stessa lotta contro il crimine informatico. Perchè le procedure per fronteggiare questo tipo di attacco ci sarebbero ma richiedono forti investimenti in tecnologia per consentire il riavvio da zero dei sistemi, un rimedio che naturalmente deve essere pronto prima dell’attacco. Inoltre non è possibile escludere che zone del sistema infettate possano continuare a dare problemi, come è accaduto due giorni dopo il pagamento del riscatto, con una nuova interruzione. Insomma le autorità statunitensi hanno iniziato a capire quale sia il livello d’allarme necessario per rimediare all’inefficienza della prevenzione, addirittura la U.S. Consumer Product Safety Commission ha dovuto con un tweet invitare gli utenti a non dare vita a fenomeni di accaparramento durante la crisi.
Nel frattempo Elliptic, società specializzata in analisi blockchain, ha affermato di aver individuato il wallet Bitcoin utilizzato dagli hacker per ricevere il pagamento del riscatto da Colonial Pipeline. Elliptic ha effettuato un’analisi delle transazioni rivelando che lo stesso portafoglio usato per Colonial ha ricevuto 57 pagamenti da altri 21 wallet diversi, tra cui vi sarebbero anche 78,29 Btc inviati l’11 maggio da Brenntag, una società chimica che con molta probabilità ha subito un ricatto analogo. In totale i pirati hanno incassato 17,5 milioni di dollari soltanto nel periodo esaminato rispetto al blocco di Colonial. DarkSide ha quindi spostato buona parte dei suoi fondi e il 18% di questi sarebbero stati inviati ad un piccolo gruppo di distribuzione e il 4% direttamente a Hydra, un mercato del dark web. Possono essere ostacolate le operazioni d’incasso individuando nel mercato delle criptovalute la provenienza del portafoglio utilizzato, ma il problema che resta irrisolto riguarda la prevenzione vera e propria da questo tipo di attacco. Paradossalmente in questo momento a essere penalizzate dalla spettacolarità e incidenza dell’attacco verso Colonial sono i gruppi che utilizzano il sistema del ransomware per obiettivi più limitati e gli operatori che regolano le due principali piattaforme ransomware in lingua russa, REvil e Avaddon, hanno annunciato nuove regole rigide che disciplinano l’uso dei loro prodotti, inclusi i divieti di prendere di mira enti, ospedali o istituti scolastici affiliati al governo.
Non è però un successo, anche se DarkSide è stato chiuso e le altre piattaforme limitate: questo genere di reti tende a sciogliersi e riformarsi in fretta per evitare le attenzioni delle forze dell’ordine, o almeno questo è quanto affermano gli esperti di sicurezza informatica. Fin qua le crisi di approvvigionamento di carburante che avevano colpito gli Usa erano dovute esclusivamente alla situazione in medioriente, a crisi di geopolitica internazionale, è la prima volta che un problema si presenta all’interno senza essere legato a crisi di produzione. Gli investimenti in cyber sicurezza in questi anni sono stati insufficienti e adesso le società energetiche subiscono pressioni crescenti per adeguarsi da parte dei governi e degli azionisti. Il settore vitale che è stato colpito pochi giorni fa ha dimostrato l’intera vulnerabilità di un sistema che nel ventunesimo secolo utilizza una tecnologia inadeguata garantendo, anche grazie alla mancanza d’investimenti per il bene collettivo, profitti astronomici. Fino al prossimo attacco ransomware.
