In una fabbrica intelligente perfettamente funzionante, ogni processo dovrebbe iniziare e terminare con precisione e le operazioni non si dovrebbero mai interrompere, in modo tale da realizzare una perfetta integrazione nella linea di produzione della struttura. Tuttavia, dietro il normale ronzio delle attività quotidiane, si nascondono spesso una serie di minacce esterne.
Un honeypot progettato per eumulare una fabbrica reale
Per determinare quanto potrebbero essere consapevoli e ingegnosi coloro che pongono in essere tali attacchi, nel 2019 Trend Micro, azienda operante nel settore della sicurezza informatica, ha condotto una sorta di simulazione della durata di 6 mesi, allo scopo di individuare quali fossero le metodologie impiegate dagli hacker per aggredire le aziende operanti nel settore industriale: utilizzando un honeypot molto realistico, è stato creato un ambiente virtuale in grado di attirare i criminali informatici e, allo stesso tempo, fornire uno sguardo pressoché illimitato sulle loro azioni.
L’honeypot è stato progettato per imitare un sistema reale, dotato di un programmable logic controller (PLC), di una human-machine interface (HMI) e di un industrial control system (ICS) – questo perché gli hacker sono molto selettivi nella scelta dei loro bersagli, senza contare che i più esperti avrebbero potuto facilmente riconoscere la trappola: lo scopo era quello di emulare una vera e propria identità aziendale, con dipendenti apparentemente reali, canali di contatto funzionati (con siti e profili social) e una base di clienti composta da grandi organizzazioni anonime provenienti da settori critici. Questo stratagemma si è dimostrato efficace, come si può evincere dai diversi tipi di attacchi che l’honeypot ha attratto (consultabili nella timeline pubblicata dai ricercatori).
Un monito per incrementare le misure di sicurezza
Man mano che la ricerca procedeva, sempre più attacchi si facevano strada nel sistema. Le aggressioni erano possibili perché la struttura era stata volutamente progettata per essere “debole” in termini di sicurezza, fattore che invitava gli hacker a sfruttare quella che poteva sembrare un’opportunità potenzialmente redditizia, senza il minimo sospetto: le “sviste consapevoli”, infatti, si mantenevano sempre entro il limite della credibilità.
Dopo il primo mese di osservazione, gli hacker sono stati in grado di installare un trojan che minava le criptovalute e, nei mesi successivi, hanno sferrato altri due attacchi di tipo ransomware. I risultati dell’esperimento dovrebbero fungere da esempi cautelativi per le organizzazioni, in particolare per quelle che gestiscono degli ICS, in modo tale che vengano sempre implementate e garantite le adeguate misure di sicurezza sui loro sistemi.
Greg Young, il Vice Presidente della cybersecurity di Trend Mirco, ha commentato così i risultati dell’esperimento: “Pensare che le minacce cyber ai sistemi di controllo industriale (ICS) riguardino solo quelle infrastrutture sofisticate che si trovano a livelli alti di pubblica sicurezza è un errore frequente. La nostra ricerca dimostra come gli attacchi colpiscano anche i sistemi più comuni“. “Per questo i proprietari di piccole industrie o impianti non dovrebbero dare per scontato che i cybercriminali li lasceranno in pace. La mancanza di protezione può aprire le porte ai ransomware o ad attacchi cryptojacking che possono fare seri danni”.
Il documento di ricerca, “Caught in the Act: Running a Realistic Factory Honeypot to Capture Real Threats“, contiene i dettagli completi relativi all’honeypot, dalla sua concettualizzazione alla descrizione delle diverse offensive riscontrate su di esso.