• Stampa pagina
  • Area riservata
  • Versione alto contrasto
  • Versione standard

Irongate: un malware simile a Stuxnet minaccia sistemi ICS e SCADA

  pubblicata il 09/06/2016

Categorie: Sicurezza Informatica

Gli esperti di sicurezza di FireEye hanno identificato una nuova famiglia di malware, battezzata Irongate, progettata per colpire sistemi di controllo industriali (ICS) e SCADA.

Questo malware utilizza tecniche simili a quelle del noto worm Stuxnet, che manipola sistemi SCADA per nascondere le loro reali letture ai sistemi di controllo e consentire di condurre attacchi a sistemi industriali e infrastrutture critiche.

Irongate è stato individuato per la prima volta verso la fine del 2015 durante l’analisi di alcuni campioni di codice caricati su VirusTotal già dal 2014, ma non classificati all’epoca come malware, che contenevano riferimenti a sistemi SCADA.

Stando a quanto riportato da FireEye, questi campioni erano progettati per attaccare uno specifico processo industriale in esecuzione all’interno di un ambiente ICS Siemens simulato. Irongate agisce sostituendo una libreria dinamica con una DLL malevola, interferendo così con le comunicazioni tra il software di monitoraggio e i sistemi PLC (Programmable Logic Controllers), computer utilizzati per l’automazione di processi industriali, che controllano ad esempio il funzionamento di macchinari in catene di montaggio, l’apertura e chiusura di valvole, di circuiti elettrici, ecc.

Lo scopo principale di Irongate è quello di realizzare un attacco di tipo man-in-the-middle per manipolare i dati provenienti dai PLC nascondendo allo stesso tempo la sua presenza agli operatori, con un approccio del tutto similare a quello di Stuxnet. La DLL malevola registra cinque secondi di traffico “normale” da un PLC verso l’interfaccia utente e lo riproduce, mentre allo stesso tempo invia dati di risposta alterati al PLC.

Un’altra caratteristica chiave di Irongate consiste nella capacità di riconoscere la presenza di una sandbox al fine di evitare di essere scoperto ed analizzato.

Le peculiarità di questo malware hanno condotto i ricercatori di FireEye a concludere che si tratta molto probabilmente di un proof-of-concept realizzato a scopi di test o ricerca. Apparentemente Irongate funziona solamente all’interno di un ambiente Siemens simulato, utilizzato per testare sistemi ICS prima che vengano installati in ambiente di produzione, e non è in grado di sfruttare alcuna falla presente nei sistemi reali. Non si tratta quindi al momento di una reale minaccia.

Ciò nonostante, FireEye ritiene che la scoperta di questo malware rappresenti il segnale di una nuova tendenza che dovrebbe mettere in allarme gli operatori di sistemi industriali, spingendoli a rafforzare i sistemi di sicurezza delle reti ICS in vista di nuove potenziali minacce. A questo scopo FireEye ha messo a disposizione un’analisi tecnica dettagliata di Irongate, assieme ad alcuni indicatori di compromissione (IoC).

(fonte: http://www.certnazionale.it )

Contenuti Categorizzati




Cloud Wifi

 


Multifunzioni