Il malware ICS Irongate ruba le idee a Stuxnet

Secondo FireEye, il malware Irongate, orientato ai sistemi di controllo industriali (ICS), è estremamente simile, per certe sue caratteristiche, al famigerato worm Stuxnet. La nuova scoperta rappresenta un ulteriore campanello d’allarme per l’intera community degli esperti di sicurezza IT, visto che non fa altro che confermare l’impellente necessità di perfezionare i sistemi adibiti al rilevamento dei software nocivi preposti ad attaccare le infrastrutture critiche.

Allo stesso tempo, i ricercatori hanno osservato che Irongate, al momento attuale, non costituisce una seria minaccia, in quanto funziona solo negli ambienti di simulazione. Tuttavia, secondo i dati raccolti da FireEye, il malware in causa è rimasto inosservato per anni, sebbene per tutto questo tempo sia risultato presente nel database di VirusTotal. “Indubbiamente, le competenze e le capacità di cui fa prova il nostro settore, in relazione alla conoscenza e al rilevamento delle minacce IT, sono in costante crescita, ma non risultano ancora pienamente soddisfacenti, come dimostrano simili esempi, – constata Rob Caldwell, manager del team di analisti denominato FLARE (FireEye Labs Advanced Reverse Engineering). – Si rivela pertanto indispensabile comprendere in maniera ancor più netta ed evidente cosa possono rappresentare, di fatto, le minacce informatiche destinate ai sistemi di controllo industriali, e come le stesse possono essere rilevate, allo scopo di aumentare le capacità difensive”.

Secondo gli esperti di FireEye, il malware da essi identificato si caratterizza per la capacità di intercettare l’input e l’output dei processi, ponendosi in una posizione MitM, e per il fatto che esso è in grado di attaccare il software che esegue operazioni sui processi negli ambienti di simulazione. Il sistema compromesso da Irongate consente agli attacker di poter agevolmente sostituire o alterare le azioni di controllo, all’insaputa dell’operatore del sistema. Tecniche analoghe sono state utilizzate, in precedenza, per mettere fuori servizio vari obiettivi di natura critica, dalle reti di distribuzione elettrica ai controllori logici programmabili (PLC) delle centrifughe impiegate nel settore dell’energia nucleare.

I ricercatori hanno individuato il sample di Irongate verso la fine del 2015, su VirusTotal, dove si erano recati in cerca di dropper compilati tramite PyInstaller. Il sample individuato assomigliava fortemente ai tipici malware destinati ai sistemi automatizzati di controllo dei processi tecnologici e ad altri sistemi di controllo industriali. È risultato, nell’occasione, che il suddetto malware era stato caricato, per effettuare le consuete verifiche, già nel 2012, senza essere poi riconosciuto da alcun anti-virus.

L’analisi svolta dagli esperti ha dimostrato che tale software nocivo si avvale della tecnica MitM, specificamente adattata per la conduzione di attacchi nei confronti dell’applicazione personalizzata di cui dispone l’utente, in esecuzione in un ambiente di simulazione dei controllori logici programmabili Step 7 prodotti da Siemens. Il team di analisti ha ugualmente individuato una libreria dinamica in grado di mascherare il comportamento dannoso del codice eseguibile. Questa DLL ha la capacità di registrare cinque secondi di traffico “normale”, proveniente da un PLC (programmable logic controller) simulato; l’attacker può così riprodurre nuovamente il frammento di traffico, allo scopo di nascondere la trasmissione di dati hardcoded verso l’apparecchiatura simulata.

Con notevole sorpresa da parte dei ricercatori, si è scoperto che, nell’ostacolare l’analisi, il malware “specializzato” si comporta come un malware convenzionale: al momento dell’esecuzione nella virtual machine o nella sandbox (Cuckoo), esso è in effetti passato in una sorta di “modalità sleep”, cercando in tal modo di evitare il rilevamento.

“Sebbene Stuxnet, dal punto di vista tecnico, risulti molto più complesso, di vari ordini di grandezza, Irongate condivide con esso alcuni tratti similari”, – ha affermato Sean McBride, senior threat intelligence analyst presso FireEye. Egli ha fatto notare, in particolar modo, come entrambi i malware siano preposti ad attaccare uno specifico sistema di controllo, ed utilizzino strumenti di difesa nei confronti del possibile rilevamento: Stuxnet è in grado di rilevare la presenza dell’anti-virus; Irongate, invece, quella della virtual machine. Tuttavia, a differenza dei propri “confratelli”, tra l’altro non particolarmente numerosi, quali, ad esempio, BlackEnergy, Havex, e lo stesso Stuxnet, Irongate si rivela scarsamente utilizzabile nelle applicazioni pratiche; in sostanza, esso è in grado di funzionare soltanto negli ambienti di simulazione focalizzati sui prodotti Siemens.

Ma chi ha creato, quindi, questo malware? E con quali fini? FireEye avanza, a tale riguardo, tre diverse ipotesi. In primo luogo, suppongono gli esperti, il suo autore ha forse nutrito la speranza che qualcuno trasferisse tale codice dall’ambiente di simulazione ad un ambiente operativo, iniziando così ad utilizzare Irongate in maniera concreta. È ugualmente possibile che quest’ultimo sia, a tutti gli effetti, un test sample; il virus writer, nella circostanza, prima di mettere in circolazione il malware, avrebbe deciso di verificare il livello di rilevabilità dello stesso, utilizzando il servizio VirusTotal. La terza ipotesi, infine, è quella ritenuta maggiormente plausibile dagli analisti di FireEye: qualche esperto di sicurezza IT si è semplicemente dimenticato di aver sottoposto a verifica il codice in questione.

“Debbono essere di sicuro profusi maggiori sforzi, nel nostro settore, nell’ambito del rilevamento delle minacce dirette ai sistemi di controllo della produzione, – ha concluso Dan Scali, senior manager della divisione consulting di FireEye specializzata nelle questioni e nelle tematiche inerenti alla sicurezza degli ICS. – Dai tempi della comparsa di Stuxnet non si notano, in generale, grandi progressi nella soluzione di tali problematiche, ora evidenziate da Irongate. Visto il crescente livello di accessibilità di simili attacchi, desta notevoli preoccupazioni il tema dell’adeguatezza delle misure di protezione da adottare”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *