▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Come violare una fabbrica automatizzata in poche mosse

Business Vulnerabilità Sicurezza fisica
Un attacco mirato può bloccare la produzione di una fabbrica. Le cronache sono piene di casi. Basti ricordare l'iniezione di codice maligno che lo scorso anno bloccò gli impianti dell'azienda manifatturiera tedesca Rheinmetall Automotive. Causò danni per 4 milioni di dollari a settimana. E ricordò ai proprietari delle fabbriche che un virus informatico può sabotare la produzione.

La consapevolezza delle minacce è cresciuta. Però c'è ancora il rischio che le aziende vedano questi attacchi come incidenti isolati, e non come il lavoro mirato di un aggressore. Per smantellare questo punto di vista, il ricercatore di Trend Micro Federico Maggi si è messo al lavoro. Si è appoggiato a un laboratorio della School of Management del Politecnico di Milano e ha dimostrato che cosa si potrebbe davvero verificare.

La vittima designata era l'azienda svizzera ABB. Ovviamente non è stata attaccata davvero. È solo stata protagonista di una dimostrazione che può essere d'aiuto ad altre aziende per individuare i propri punti deboli prima vengano sfruttati.
industry 4 0 lab, il sistema analizzato durante la ricercaIndustry 4.0 Lab, il sistema analizzato durante la ricercaI risultati della ricerca sono pubblicati in un interessante documento di 60 pagine intitolato "Attacks on Smart Manufacturing Systems - A Forward-looking Security Analysis". L'aspetto interessante è che i ricercatori non hanno sfruttato solo una vulnerabilità o solo un sistema, perché esistono molteplici modi per iniettare un codice malevolo in una struttura produttiva.

Ad esempio, i ricercatori hanno sabotato una serie di macchinari tramite un attacco alla catena di approvvigionamento. Sono riusciti a distorcere le letture della temperatura all'interno della fabbrica, interrompendo la produzione. I malware necessari sono stati veicolati tramite librerie software con cui interagiscono i macchinari.

L'idea è partita dal fatto che ABB dispone di un ampio ventaglio di applicazioni che gli ingegneri utilizzano per caricare il codice di programmazione dei robot. Questo "app store" era afflitto da una vulnerabilità che gli ha permesso di caricare il proprio codice nello store. Il problema in questo caso era che non era presente alcuna soluzione di sandboxing. È bastato un semplice plugin scaricato su una workstation per leggere ed esfiltrare i file. ABB alla fine ha risolto la vulnerabilità.
gli scenari di attacco che prevediamo alla luce dei nostri risultatiGli scenari di attacco alla luce dei nostri risultati, incluso la compromissione usando un componente industriale dannoso (a sinistra) e una libreria di terze parti "backdoored" (a destra)Quanto accaduto ha permesso di far capire che all'azienda che il personale non era in grado di rilevare gli attacchi. Se fosse stato un attacco reale, i cyber criminali avrebbero potuto prendere il controllo di diverse macchine in più fasi.

Un'altra simulazione riguarda i "digital twin”, in italiano i gemelli digitali. Sono repliche digitalizzate di una macchina o di un processo di fabbrica. Gli ingegneri li usano per testare le prestazioni. Un difetto nel software di gestione di questa funzione permetteva a un attaccante di manipolare il codice. E di indurre i macchinari veri a creare prodotti difettosi. Qui il problema era di grande portata, perché non esiste una procedura standardizzata per applicare controlli di integrità ai digital twin.

Conclusioni

Nelle conclusioni, Maggi e i suoi colleghi hanno tratteggiato uno scenario preoccupante. Spesso i sistemi di produzione sono progettati e implementati partendo dal presupposto che saranno isolati sia dal mondo esterno che dal resto della rete aziendale. Anche ammesso che questo sia vero, è imperativo tenere conto del fatto che un cyber criminale potrebbe usare strade non convenzionali per attaccarli. Per esempio, l'app store interno e ufficiale dell'azienda.

Oltre tutto, l'assunto del mondo chiuso implica automaticamente che gli aggressori che agiscono in loco avranno carta bianca. Proprio per via dell'isolamento, non ci sono controlli di sicurezza. Qualsiasi endpoint si fida di qualsiasi altro endpoint, e un cyber criminale può fare praticamente tutto ciò che vuole.
attacchiDettagli sugli attacchi inclusi nella case history e raccomandazioni sulle difese 
Come indicava Nate Warfield qualche settimana fa, un sistema di produzione intelligente vulnerabile e di alto profilo può apparire su motori di ricerca come Shodan. È quindi passibile di attacchi. Anche perché oggi i sistemi di produzione intelligenti, sebbene fatti di hardware, sono inseriti all'interno di un ecosistema con una complessa rete di interdipendenze. L'hardware è solo una piccola parte dell'equazione. Esistono software, librerie, sviluppatori, software utilizzato per sviluppare altri software. Librerie vendute da un'azienda utilizzata da un'altra azienda, integratori di sistema che lavorano per diverse fabbriche.

Tutto questo ha ripercussioni sui tipi di attacchi possibili nei sistemi di produzione intelligenti. Una volta che un utente malintenzionato è entrato in un sistema di produzione intelligente, ha opportunità uniche di muoversi lateralmente, alcune delle quali sono inesplorate.

Quello che i ricercatori hanno riscontrato sono problemi di progettazione critici nella logica di automazione dei robot. Non solo creano terreno per le vulnerabilità per le quali non esistono ancora scanner automatici. Consentono anche l'implementazione di azioni dannose che passeranno inosservate.

Alla luce di quanto visto, gli esperti reputano che gli aggressori esterni cercheranno di infettare indirettamente gli endpoint mediante malware mirati. Alcuni software OT possono offrire l'opportunità di colpire non solo una persona specifica, ma categorie più ampie di persone che usano lo stesso software. Ciò vale anche per le librerie software utilizzate per lo sviluppo IIoT (Industrial Internet of Things).
hack in fabbrica, opportunità di attaccoLe opportunità di attacco rilevateUtilizzando tali vettori di attacco, un cyber criminale può ottenere persistenza utilizzando, ad esempio, una logica di automazione compromessa. Altro elemento è che i programmi scritti in ambienti di sviluppo industriale, non impongono l'uso di componenti sicuri (ad esempio il sandboxing). Allo stesso modo, il firmware IIoT sottintende dipendenze complesse, e molte librerie "non ufficiali" finiscono per monitorare o influenzare il comportamento delle macchine.

Dato che tutti i componenti di un impianto di produzione intelligente sono generalmente collegati alla stessa rete, tutto può succedere. Le conseguenze sono difficili da stimare. Per cambiare questo approccio che non funziona è necessario che le persone che lavorano in ambienti OT smettano di considerare la sicurezza come un "componente aggiuntivo". È a tutti gli effetti un processo e così dev'essere gestito.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 11
TPM 2.0: Il Cuore della Sicurezza nei PC Moderni
Lug 11
Accesso Sicuro, Futuro Protetto: Il Viaggio con Cisco Duo
Lug 11
Microsoft Sentinel: la piattaforma SIEM e SOAR per il soc moderno
Lug 15
Business Meeting HP | Diventa HP Extended Partner & HP Ecosystem
Lug 15
Networking on OCI: Dietro le Quinte della Rete Cloud
Lug 15
HPE TSC - Le ultime novità HPE per il tuo business a valore aggiunto
Lug 15
Cisco 360 Level Up:la transizione guidata da TD SYNNEX
Lug 16
NetApp Hybrid Cloud Associate Workshop
Lug 17
Ready Informatica Webinar | Cove Data Protection di N-able – Il tuo backup è ancorato al passato?

Ultime notizie Tutto

Patch Tuesday di luglio 2025: chiuse 137 falle, una Zero Day

Microsoft risolve 137 falle di sicurezza nel Patch Tuesday di luglio, tra cui una Zero Day su SQL Server e gravi vulnerabilità in Windows e SharePoint.

09-07-2025

AI agent e automazione no-code: la nuova era dei SOC

Agentic AI e automazione no-code: i SOC stanno cambiando faccia. Ecco come workflow intelligenti, integrazioni dinamiche e nuovi standard possono ridefinire l’incident response e il ruolo degli analisti.

09-07-2025

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1