martedì 14 giugno 2016

IRONGATE, un malware per il sabotaggio delle aziende?



Alcuni ricercatori di FireEye hanno scoperto una nuova famiglia di malware, ribattezzata Irongate che è progettata per colpire sistemi di controllo industriali (ICS) e i sistemi di controllo di supervisione e acquisizione dati (SCADA).

CHE COSA FA?

Questo malware simula il comportamento del ben più noto Stuxnet [1] utilizzando tecniche del tipo MitM (Man in the Middle[2]) per inserirsi tra il PLC (Programmable Logic Controller [3]) e il software legittimo che monitora i processi. Per fare ciò, come Stuxnet, sostituisce una DLL valida con una copia dannosa, capace potenzialmente di consentire al malware di colpire una precisa configurazione del sistema di controllo.  Una volta inseritosi nella comunicazione, Irongate registra circa 5 secondi di traffico normale al fine di individuare il livello difensivo e inviando al PLC dati alterati.

Ha inoltre la capacità di individuare eventuali sandbox (come VMWare e Cuckoo Sandbox) , così da evitare l’individuazione e l’analisi. Poi si autoelimina per coprire le tracce. 

Il Malware funziona solo in un ambiente simulato ed è molto probabilmente solo un piccolo test empirico di verifica teorica: nel dettaglio pare che questi codici siano stati programmati per attaccare uno specifico processo entro  un ambiente ICS Siemens simulato, anche se la Siemens ha specificato che Irongate "non è praticabile contro i sistemi di controllo operativo Siemens e che  non sfrutta alcuna vulnerabilità nei prodotti Siemens."


I ricercatori di FireEye non pensano che Irongate sia stato scritto dagli stessi autori di Stuxnet perché, nonostante alcune somiglianze, non presenta quel livello di sofisticazione che ci si aspetterebbe da uno stato nazionale:  attualmente sarebbe perfino azzardato affermare che questo malware possa davvero arrecare danno a qualsiasi tipo di sistema industriale.

In ogni caso eventuali affinamenti di questo malware possono essere veramente rischiosi per le aziende,  visto il potenziale di  Irongate.

Ma forse la vera domanda da porsi è chi ha scritto Irongate e perché.

Qui l'analisi completa del malware prodotta da FireEye:click qui


NOTE:
[1] Stuxnet: 
è un virus scritto dal Governo degli Stati Uniti d’America assieme a quello di Israele,  diffuso nel 2006 nell’ambito di una campagna di attacchi informatici voluta dal Presidente Bush  contro l’Iran. Lo scopo del malware era il sabotaggio di una centrale nucleare iraniana. Sfruttò ben 4 vulnerabilità di tipo 0-day ancora sconosciute in Windows, propagandosi poi verso il software Step7 della Siemens:  colpì quindi i PLC adibiti al controllo delle centrifughe, necessarie alla separazione dei materiali nucleari.  In contemporanea Stuxnet inviava ai PLC dati falsati che segnalavano un corretto funzionamento del sistema, al fine di poter agire indisturbato senza essere individuato. Si compone di 3 parti: un worm che danneggia il PLC e permette l’autoreplica del virus (infatti il virus si è diffuso ben oltre i confini dell’operazione di Intelligence), un collegamento che fa eseguire le copie create dal worm e un rootkit contro le individuazioni.

Fonte: http://www.repubblica.it/tecnologia/2012/06/01/news/stuxnet_israele_e_usa_ammettono_creato_da_noi_ci_sfuggito_di_mano-36353500/

[2] Man in the Middle:
letteralmente “l’uomo nel mezzo”.  L’attaccante si inserisce tra due entità in comunicazione tra di loro (di solito un client e un server) al fine di eseguire molteplici operazioni differenti volte essenzialmente a tracciare/interrompere la comunicazione.

[3] PLC: computer utilizzati per l’automazione di processi industriali, che controllano ad esempio il funzionamento di macchinari in catene di montaggio, l’apertura e chiusura di valvole, di circuiti elettrici, ecc.

Nessun commento:

Posta un commento