Incidente di Maroochy Shire: quando l’attaccante colpisce dall’interno
Nell’era digitale in cui la tecnologia è il cuore pulsante delle operazioni industriali, la protezione delle infrastrutture operative (Operational Technology, OT) è diventata una sfida critica e in continua evoluzione. Le infrastrutture che alimentano le forniture energetiche, la produzione manifatturiera, i servizi idrici e altro ancora, sono infatti ormai ampiamente integrate con i sistemi informatici e di comunicazione. Questa convergenza ha portato negli anni a una nuova realtà: un aumento esponenziale delle minacce cyber che mirano direttamente alle infrastrutture critiche e ai sistemi produttivi.
La serie di articoli che verranno pubblicati a cadenza periodica, vogliono esplorare il complesso mondo della sicurezza delle infrastrutture OT, focalizzandosi sui principali incidenti cyber che si sono verificati a partire dagli anni 2000.
Da Maroochy Shire, all’attacco pionieristico di Stuxnet, dalla manipolazione delle reti elettriche tramite BlackEnergy, fino alle più recenti infiltrazioni che hanno colpito aziende manifatturiere e fornitori di servizi, esploreremo come gli aggressori abbiano sfruttato vulnerabilità e lacune di sicurezza per ottenere accesso agli ambienti OT. Ogni incidente rappresenta una pietra miliare nella comprensione delle sfide inerenti alla sicurezza OT e fornisce l’opportunità di capire quali siano le possibili azioni da intraprendere.
Unendo le esperienze passate con le conoscenze attuali, possiamo affrontare le sfide complesse che emergono dall’interconnessione di mondi tradizionalmente separati. Questo viaggio attraverso gli incidenti cibernetici nelle infrastrutture industriali costituisce un contributo interessante sia per chi si avvicina al mondo della sicurezza OT per la prima volta, sia per gli esperti cyber OT perché contribuisce a delineare strategia di sicurezza solide, mirate a garantire la resilienza e la sicurezza delle operazioni critiche nell’era digitale.
Uno dei primi incidenti cyber rilevanti in ambito OT non tanto per le tecniche utilizzate, ma soprattutto per gli impatti ambientali che ha causato, prende il nome dal luogo in cui è avvenuto: Maroochy Shire. Si è trattato di una infiltrazione, da parte di un ex dipendente, in una Stazione di Trattamento delle Acque reflue.
La stazione di Maroochy Shire utilizzava un sistema di controllo SCADA (Supervisory Control and Data Acquisition) per monitorare e gestire il processo di trattamento delle acque. Questo sistema SCADA controllava vari aspetti del processo, tra cui pompaggio, filtraggio e distribuzione dell’acqua.
L’incidente Maroochy Shire è il caso emblematico di come un individuo con conoscenze tecniche specifiche possa sfruttare la tecnologia per influenzare direttamente le infrastrutture industriali. Vitek Boden, ex consulente informatico presso l’organizzazione che gestiva la stazione, la Hunter Watertech, aveva familiarità con il sistema SCADA utilizzato in essa e con il suo funzionamento avendo contribuito al suo design e installazione.
Dopo essere stato licenziato, Vitek Boden aveva ancora accesso alle conoscenze e soprattutto alle credenziali necessarie per accedere, con privilegi di admin, al sistema SCADA della stazione di trattamento delle acque. Inoltre, aveva una profonda comprensione della rete, e delle sue configurazioni. Questo gli consentiva di aggirare le protezioni e di accedere ai sistemi interni.
Una volta all’interno del sistema SCADA, Boden iniziava ad inviare comandi dannosi attraverso una connessione remota. Utilizzando le sue conoscenze sul funzionamento del sistema, Boden manipolava i parametri di controllo, come i livelli di cloro e sodio nell’acqua trattata. Questa manipolazione causava l’emissione di liquami non trattati, nello specifico la fuoriuscita di 264.000 galloni di acque reflue crude nei parchi locali, nel fiume e nel terreno di un hotel distante 7,2 miglia dalla stazione di trattamento.
Inizialmente, il team di investigatori che indagava sui guasti anomali ricorrenti pensava che questi fossero causati da errori di installazione, per questo inizialmente veniva più volte reinstallato il software degli SCADA in questione. Tuttavia, il problema perdurava. Una notte, mentre un operatore stava modificando nuovamente le impostazioni delle stazioni di pompaggio notava che queste venivano cambiate subito dopo. Concludeva quindi che qualcuno stava entrando illegittimamente dentro il sistema.
Mentre continuavano le indagini, il 23 aprile 2000, venivano disabilitati gli allarmi in quattro stazioni di pompaggio. La polizia iniziava a sorvegliare le aree intorno alle stazioni di pompaggio e meno di un’ora dopo dalla fine dell’attacco, individuava un’auto. Durante la perquisizione della stessa, trovava un PDS Compact 500, una radio bidirezionale e un laptop. Vitek Boden affermava che tutti gli oggetti erano di sua proprietà e li stava usando per studio, corrispondenza personale e lavoro nell’attività familiare. Il PDS Compact 500 e la radio bidirezionale erano stati rubati. Il software installato nel era necessario per comunicare con il sistema SCADA delle stazioni. La radio era impostata sulla stessa frequenza di due delle tre stazioni ripetitrici disponibili. Gli orari di avvio e spegnimento del laptop erano coerenti con le intrusioni registrate. Non c’erano dati disponibili prima del 28 febbraio, in quanto il laptop era stato formattato in quella data. Il controller PDS aveva lo stesso indirizzo di quello registrato nelle intrusioni.
Le azioni illecite di Vitek Boden hanno comportato un costo di $176.000 in riparazioni, monitoraggio, pulizie e sicurezza aggiuntiva insieme a sanzioni per danno ambientale e danno di immagine.
L’incidente di Maroochy Shire, comunemente riconosciuto come uno dei primi in ambito OT, seppure non attribuibile ad hacker in senso stretto, ha evidenziato il rischio rappresentato dagli ex dipendenti o da individui con conoscenze privilegiate. Ha messo in evidenza la necessità di un controllo rigoroso degli accessi e di procedure per gestire l’assegnazione e la revoca delle utenze.
Articolo a cura di Mariacristina Bringheli
Mariacristina è una Cyber Security Manager con oltre 5 anni di esperienza in ambito IT ed OT. Ha lavorato in diversi contesti internazionali, inclusi Stati Uniti e Medio Oriente, interagendo con una vasta gamma di clienti e fornendo supporto nella definizione e implementazione di strategie integrate di sicurezza informatica.
Negli ultimi anni, nell’area Emerging Technology di Deloitte Risk Advisory, si concentra sulle tematiche cyber legate alle tecnologie emergenti, con focus sulla sicurezza OT e IIoT, e ha acquisito una conoscenza strutturata e approfondita diversi processi produttivi e delle minacce informatiche che li prendono di mira, in particolare in ambienti complessi e fortemente interconnessi. La sua esperienza e competenza si estendono anche alla valutazione dei rischi informatici e alla protezione delle infrastrutture critiche.
Inoltre, grazie al suo coinvolgimento in diversi progetti focalizzati sulla gestione delle crisi informatiche e l’esecuzione di simulazioni ed esercitazioni con CEO e Top Management, ha sviluppato competenze nella gestione di crisi cyber a livello strategico, tattico e operativo.
https://www.ictsecuritymagazine.com/articoli/incidente-di-maroochy-shire-quando-lattaccante-colpisce-dallinterno/