Sicurezza, il pericolo è informatico

Sicurezza, il pericolo è informatico

L’analisi di minacce di attacco informatico contro impianti produttivi effettuato per mezzo di esche permette di migliorare servizi e prodotti per la sicurezza informatica per la protezione dei sistemi di impresa.

di Andrea Pagani e Andrea Cataldo

Il principio alla base di Industria 4.0 è la connettività. Potere accedere ai dati e scambiarli tra diversi operatori per generare informazioni utili al miglioramento dei processi è l’obiettivo finale, utile per incrementare la qualità, ridurre i costi e assicurare la massima continuità di servizio. Per via di questa apertura, però, molte fabbriche rappresentano obiettivi sensibili per hacker professionisti, in particolare le infrastrutture aziendali che gestiscono e custodiscono dati critici e sensibili per l’impresa stessa. Un attacco che va a segno, indipendentemente dal livello di difficoltà richiesto per eseguirlo, può produrre gravi conseguenze per l’azienda, esponendola a ritorsioni da parte dei criminali cibernetici o costringendola a dovere sopportare considerevoli perdite economiche.

Fabbrica simulata, attacchi reali

Allo scopo di potere valutare il grado di conoscenza e di abilità degli hacker nel compromettere lo stato di un impianto e di conseguenza potere migliorare i propri prodotti/servizi offerti alle aziende clienti, Trend Micro (operante da anni nel settore della cybersecurity) ha appositamente sviluppato un sistema hardware/software pensato per fungere da esca al fine di studiare la tipologia di attacchi e le possibili contromisure. Tale “trappola informatica” è composta da un’architettura di dispositivi hardware/software opportunamente strutturata che, vista dall’esterno, corrisponde a un vero e proprio sistema aziendale di fabbrica. Per comprendere meglio questo concetto di emulazione si consideri come analogia il funzionamento dei simulatori di impianto. Un simulatore di impianto è in genere un componente software che ha lo scopo di replicare in modo più o meno fedele il comportamento dell’impianto reale attraverso la formulazione e l’esecuzione software di modelli matematici. Il grado di approssimazione della risposta del simulatore dipende dall’accuratezza con cui il sistema fisico reale è stato descritto matematicamente (modellato): maggiore è il dettaglio del modello matematico, più la risposta del simulatore è simile a quella del sistema reale. Chiaramente una maggiore accuratezza richiede un maggiore impiego in termini di risorse tecnico-scientifiche, temporali ed economiche per realizzare il simulatore stesso; pertanto questo dipenderà dal bilanciamento tra esigenze di replicare quanto più fedelmente possibile l’impianto reale e impiego quantitativo di risorse. In questo contesto specifico è stato realizzato un sistema esca molto fedele a una fabbrica reale, al punto tale che dall’esterno neanche ingegneri esperti dei controlli automatici potrebbero distinguere la vera natura del sistema stesso. Per realizzare ciò sono stati innanzitutto definiti servizi e porte da esporre in rete al fine di rendere l’esca attrattiva per i pirati, mantenendo quindi il relativo numero limitato per evitare che l’esca in sé fosse troppo evidente. Successivamente è stato creato un profilo di azienda fittizia, definendo dati tipici e sensibili di impiegati quali nome, numero telefonico e relative e-mail. Infine è stata realizzata l’architettura hardware/software dell’esca che emula il sistema fabbrica; essa è stata organizzata sulla base del Modbus Omron. In tal modo è stato quindi definito l’hardware e progettate le logiche di controllo dell’impianto fittizio, le pagine sinottiche della HMI (Human Machine Interface) e altri componenti del sistema di controllo di processo.

Hardware e software comuni

Il livello di controllo più basso è costituito da 4 PLC (Programmable Logic Controller): un Siemens S7-1200, un Omron CP1L e due Allen-Bradley MicroLogix 1100 collegati tra loro mediante Modbus. Tale livello del sistema di controllo è dedicato a eseguire le azioni sul processo controllato attraverso i comandi inviati agli attuatori (pistoni pneumatici, pompe, ventilatori, valvole e così via). Nei PLC risiedono le logiche di controllo, ossia i programmi software che elaborando i segnali provenienti dai sensori disposti sull’impianto definiscono i valori delle azioni di controllo da eseguire. Va da sé che un eventuale attacco informatico a questo livello del controllo potrebbe avere un impatto devastante non solo sui profitti dell’impresa, ma anche sulla sicurezza del processo in quanto, agendo direttamente sulle logiche di controllo o sugli output dei PLC, è possibile forzare eventuali azioni di controllo inopportune se non addirittura distruttive per l’impianto stesso. 3 dei 4 PLC sono stati aperti verso l’esterno attraverso una rete Ethernet (ETH1) implementata e gestita mediante una scheda Raspberry PI 3, con possibilità di monitoraggio del traffico dati scambiato. Il quarto PLC invece è stato reso accessibile soltanto tramite una rete locale. Inoltre sulla stessa rete Ethernet sono state collegate tre VM (macchine virtuali) con lo scopo di implementare la HMI del sistema di controllo di fabbrica, la WS (WorkStation) del robot pallettizzatore e la engineering WS per la programmazione dei PLC. La quarta macchina fisica è stata destinata come file server di fabbrica.

La HMI è stata configurata per permettere di accedere alle pagine sinottiche del sistema di controllo dell’impianto e di settare i set-point dei componenti di processo. Essa è stata messa in rete senza alcun controllo degli accessi. La WS del robot pallettizzatore, anch’essa posta in rete, è stata destinata alla programmazione del robot. Infine la engineering WS è stata dedicata alla programmazione dei PLC, non collegata in rete esterna ma con la stessa password di accesso della HMI e della WS del robot, al fine di simulare un tipico e plausibile settaggio di fabbrica. Infine la macchina fisica relativa al file server è stata popolata con file generati automaticamente da uno script.

Per quanto riguarda la creazione delle informazioni gestionali relative all’azienda fittizia, il criterio principale adottato è stato quello di formulare, e quindi presentare all’esterno, informazioni il più possibile veritiere. Il primo passo ha riguardato la definizione di una mission e una dimensione dell’impresa. In seguito è stato creato un sito web riportante un nome dato all’impresa che rispettasse la mission, uno slogan e un logo, facendo attenzione a non utilizzare elementi già presenti sul web o comunque ricavati da questi mediante rielaborazione software. Infine è stata creata una lista di personale dipendente con relativi profili professionali, foto e contatti. La scelta di presentare profili piuttosto essenziali si è resa necessaria per evitare che i pirati informatici potessero incrociare varie affiliazioni e scoprire così la natura fittizia della fabbrica.

Gli attacchi al sistema

Durante l’esperimento, durato 6 mesi, Trend Micro ha intercettato numerosi tentativi di accesso, alcune attività di sottrazione di file e anche due attacchi di tipo ransomware (ovvero la cifratura dei file presenti nel sistema per renderli inutilizzabili) al fine di ottenere un “riscatto”. Relativamente esigue le cifre chieste: circa 10 mila dollari in Bitcoin, anche se in un caso i ricercatori di Trend Micro hanno “contrattato” con gli hacker abbassando il riscatto a 6 mila dollari. Si è verificato anche un finto attacco ransomware nel quale gli hacker si sono limitati a rinominare i file.

In altri casi sono stati installati da remoto dei software che si occupano della produzione di criptovaluta: una attività che di per sé non danneggia in modo diretto la produzione, ma impegna al 100% i sistemi informatici rendendoli meno reattivi in caso di necessità. Le informazioni relative all’accessibilità di questa fabbrica sono ben presto comparse anche nel deep web, a disposizione (a pagamento) di eventuali altri hacker. In un altro caso è stato aperto un browser da remoto attraverso il quale si è tentato di effettuare un acquisto sfruttando le credenziali bancarie presenti nel sistema (attività non riuscita, visto che le informazioni presenti nel sistema non erano reali). Altre intrusioni sembra siano state eseguite più a titolo di “studio” del sistema, visto che sono stati lanciati comandi per modificare la (finta) produzione, mentre in altri casi si sono verificati veri e propri shut down dell’intero stabilimento. «Pensare che le minacce cyber ai sistemi di controllo industriale riguardino solo le infrastrutture di alto livello è un errore che può costare caro a una impresa», è la considerazione di Greg Young, Vice President of cybersecurity di Trend Micro. «Abbiamo evidenziato come gli attacchi arrivino a tutti i livelli, spesso senza un motivo particolare. Per questo chi si occupa della sicurezza all’interno di un PMI non dovrebbe dare per scontato che i cybercriminali li lasceranno in pace. Non tenere questa possibilità in debita considerazione può essere causa di seri danni».