In questi giorni diversi organi di stampa hanno rilanciato la notizia di un presunto attacco cyber in danno del sistema idrico israeliano occorso lo scorso aprile e perpetrato probabilmente da gruppi legati all’Iran. L’accresciuto interesse è legato alle dichiarazioni che ha rilasciato Yigal Unna, direttore dell’Israel National Cyber Directorate, alla conferenza internazionale CybertechLive Asia che si è svolta il 28 maggio. Nel suo intervento Unna, senza entrare nei particolari delle modalità di attacco, ha detto esplicitamente che questo episodio ha cambiato significativamente lo scenario del cyberwarfare sia perché lo scopo dell’attacco era “creare danni agli aspetti della nostra vita reale e non ai sistemi IT e ai dati” ma soprattutto perché l’attacco ha evidenziato una accelerazione imprevista nel percorso di evoluzione della minaccia cyber.
L’attacco, sulla scorta delle scarse informazioni reperibili, sembra che avesse come obiettivo quello di alterare il funzionamento del sistema di monitoraggio e controllo (Scada) del sistema idrico in modo da modificare la concentrazione del cloro (e di altre sostanze chimiche) nell’acqua potabile al punto da contaminarla rendendola non più utilizzabile. Se l’operazione avesse avuto successo avrebbe comportato l’interruzione dell’erogazione idrica durante l’emergenza Covid-19 ed in concomitanza con l’ondata di calore e siccità che ha interessato Israele nel mese di aprile. In realtà l’azione non avrebbe necessariamente comportato una reale contaminazione dell’acqua, ma solo l’alterazione dei parametri letti dallo Scada che quindi avrebbe attivato in automatico le contromisure. Ovvero una sorta di fake-attack durante il quale vengono fornite al sistema di controllo informazioni errate per indurlo a credere che l’impianto si trovi in situazioni critiche per attivare le procedure di shutdown.
L’attacco è stato sventato perché il malfunzionamento di una pompa idraulica, rapidamente riparato, ha evidenziato la presenza del malware e quindi consentito di mettere in atto le opportune contromisure.
Di per sé un attacco cyber in grado di causare impatti fisici sulle infrastrutture critiche non è una novità. I primi studi risalgono al 2007 con il progetto Aurora eseguito presso i laboratori del Idaho National Lab (US) che dimostrò, sebbene in un ambiente di test, la possibilità che un attacco cyber potesse creare effetti cinetici tali da distruggere un gruppo elettrogeno da 17 tonnellate. Questo esperimento di laboratorio fu una proof-of-concept che ha trovato nel worm Stuxnet la prima e principale riprova in un contesto reale. Stuxnet, scoperto nel 2010, aveva come probabile obiettivo quello di compromettere la capacità di arricchimento dell’uranio nel sito di Natan (Iran) danneggiando “cineticamente” centinaia di centrifughe. Stuxnet sfrutta due livelli di azione, da un lato la capacità di diffondersi superando le barriere di cyber security sfruttando vulnerabilità all’epoca non ancora note del sistema operativo e nei software applicativi per raggiungere i computer target (dimensione IT) e poi la capacità di generare comandi per la manipolazione dei dispositivi fisici sintatticamente corretti ma tali da sollecitare il sistema ad operare in condizioni di criticità e quindi indurre la rottura meccanica (dimensione OT).
Sebbene Stuxnet sia ancor oggi considerato come uno dei programmi software più complessi e sofisticati mai realizzati, la dimensione OT è stata sviluppata con tecniche abbastanza rudimentali, sfruttando informazioni di intelligence raccolte in modo tradizionale.
Al contrario, episodi più recenti di attacchi cyber a infrastrutture critiche hanno messo in luce un progressivo raffinamento ed evoluzione della parte OT con malware che hanno acquisito mediante tecniche di intelligenza artificiale e di machine learning una capacità autonoma di individuare sia i target fisici che i comandi da utilizzare per danneggiarli. In questa linea possiamo ricordare i malware Blackenergy 3 e Crashoverride che, rispettivamente, hanno causato blackout elettrici in Ucraina nel dicembre del 2015 e 2016. Questi malware, sebbene avessero una componente IT meno sofisticata di Stuxnet, sono stati in grado di “comprendere” in autonomia quali erano i sezionatori presenti sulla rete elettrica e quali i comandi da inviare per aprirli.
Questo risultato ha richiesto un lungo addestramento, ovvero che i malware risiedessero “dormienti” per lungo tempo all’interno dell’infrastruttura informatica al fine di acquisire gli elementi necessari per addestrarsi. Al punto che questa tipologia di malware è indicata con la sigla APT (Advanced Persistent Threat) per indicare come la minaccia risiede e permane per molto tempo nel sistema attaccato senza che questo se ne renda conto. Studi condotti dall’Industrial Control Systems Cyber Emergency Response Team (US) hanno evidenziato che nel caso di Blackenergy 3 esso era presente da oltre 5 anni in diversi sistemi di controllo di utility americane.
L’interrogativo che ci si pone, non essendo la “novità” un attacco cyber in grado di manipolare ed alterare il regolare funzionamento di una infrastruttura, è comprendere quale sia il cambiamento che ha tanto “allarmato” Unna.
Qui non possiamo che fare ipotesi che al momento non hanno alcuna conferma.
Come riporta un funzionario israeliano, si evidenzia come questa operazione abbia aperto le porte a “uno scenario di rischio imprevedibile”, creando un precedente importante per attacchi informatici alle infrastrutture puramente civili, peraltro in un contesto di tensione politica costante, che erano stati fino ad oggi evitati da entrambe le parti. Precedente che sembrerebbe essere stato colto al balzo dalle stesse autorità israeliane che, come affermano vari organi di stampa, hanno risposto con un attacco cyber contro il porto di Shahid Rajaee, che costituisce uno snodo essenziale per il commercio iraniano.
Il tutto anche per ribadire ed enfatizzare il ruolo della minaccia cyber forse anche oltre la sua effettiva dimensione di criticità in un momento in cui il mondo è alle prese con altre tipologie di minacce e quindi i finanziamenti sono orientati in altre direzioni.
Ma forse il vero salto di qualità è legato al fattore tempo. Unna ha detto “Rapid is not something that describes enough how fast and how crazy and hectic things are moving forward in cyberspace”. Questa frase lascia ipotizzare che il malware non abbia avuto necessità di un lungo periodo di dormienza per “learning” le modalità di comportamento del sistema OT e quindi per individuare i comandi da iniettare per creare le conseguenze cinetiche. È evidente che pianificare una azione con 4-5 anni di anticipo comporta rischi ed investimenti significativi per l’attaccante oltre che una elevata possibilità di essere individuati o semplicemente essere resi inoffensivi a causa di modifiche nel sistema. Avere, invece, malware che implementano sofisticate tecniche di intelligenza artificiale in grado di ridurre significativamente i tempi della fase di addestramento e, quindi, di permanenza dormiente all’interno dei sistemi rappresenta una opzione che consente di trasformare le cyber weapon da strumenti di minaccia strategica ad armi tattiche che possono essere rapidamente dispiegate nei più disparati scenari non solo quelli di rilevanza geopolitica ma anche per finalità economico-finanziarie.
Se fosse così, siamo davvero, come sostiene Unna, alle porte di un “Cyber winter”.