Pipedream: identificato nuovo malware progettato per attaccare i sistemi di controllo industriale.
Dragos ha rilasciato i dettagli di Pipedream, il nuovo malware che ha scoperto e che è stato sviluppato specificamente per interrompere i processi industriali. Pipedream è il settimo malware noto specifico per i sistemi di controllo industriale (ICS). È un framework di attacco ICS modulare che un malintenzionato potrebbe sfruttare per causare interruzioni, un danno finanziarrio e forse persino la distruzione del sistema a seconda degli obiettivi e dell'ambiente.
Cos'è Pipedream?
Pipedream può eseguire il 38% delle tecniche di attacco ICS conosciute e l'83% delle tattiche di attacco ICS conosciute e può manipolare un'ampia varietà di controller logici programmabili (PLC) di controllo industriale e software industriale, inclusi i controller Omron e Schneider Electric, e può attaccare tecnologie industriali onnipresenti inclusi CODESYS, Modbus e Open Platform Communications Unified Architecture (OPC UA).
Sebbene gli sviluppatori di malware si rivolgano specificamente ai PLC Schneider Electric e Omron, potrebbero esserci altri moduli rivolti anche ad altri fornitori e la funzionalità di Pipedream potrebbe funzionare su centinaia di controller diversi.
Come proteggersi da Pipedream?
A causa della natura espansiva di Pipedream, mitigare la minaccia richiederà una strategia solida e non semplicemente applicare i fondamenti della sicurezza informatica, afferma Dragos. L'azienda raccomanda le seguenti mitigazioni: Monitora gli ambienti industriali per tutti i comportamenti delle minacce nella matrice MITRE ATT&CK per ICS mentre gli avversari stanno aumentando la loro portata e la scala delle capacità.
Assicurati che la visibilità ICS e il rilevamento delle minacce includano tutte le comunicazioni ICS nord-sud ed est-ovest: il monitoraggio del perimetro e del perimetro della rete non è sufficiente per Pipedream.
Mantieni la conoscenza e il controllo di tutte le risorse all'interno degli ambienti di tecnologia operativa (OT), inclusi dettagli come garantire che siano in uso solo firmware noto e file di configurazione del controller.
Utilizza un piano di risposta agli incidenti industriali completamente studiato e collaudato che includa i tentativi degli avversari di negare, interrompere e distruggere i processi garantendo un tempo di recupero esteso.
Dall'inizio del 2022, Dragos ha analizzato il set di strumenti Pipedream. Tracciando i suoi sviluppatori come il gruppo di minacce Chernovite, che valutiamo con grande sicurezza come un attore statale. Il malware Pipedream è stato sviluppato per essere utilizzato in operazioni dirompenti o distruttive contro ICS. In particolare, l'obiettivo iniziale sembra essere specifico per la comunità del gas naturale liquido e dell'elettricità. Tuttavia, la natura del malware è che funziona in un'ampia varietà di controller e sistemi industriali.
Pipedream inizialmente prende di mira i controller Schneider Electric e Omron, tuttavia non ci sono vulnerabilità specifiche per queste linee di prodotti. Pipedream sfrutta la funzionalità nativa nelle operazioni, rendendone più difficile il rilevamento. Include funzionalità come la possibilità di diffondersi da controller a controller e sfruttare i protocolli di rete ICS più diffusi come ModbusTCP e OPC UA.
Unicamente, questo malware non è stato utilizzato nelle reti di destinazione. Ciò offre ai difensori un'opportunità unica per difendersi prima degli attacchi. Sebbene la capacità dannosa sia sofisticata, con un'ampia gamma di funzionalità, l'applicazione di pratiche di sicurezza informatica ICS fondamentali come avere un'architettura difendibile, un piano di risposta agli incidenti specifico di ICS e il monitoraggio della rete ICS forniscono una solida difesa contro questa minaccia.
