Incidente informatico in Iran provoca incendio in acciaieria industriale

Alcune riflessioni su quanto accaduto in Iran con quello che è iniziato come un attacco informatico remoto e si è concluso con l’incendio di un’acciaieria, con pesanti conseguenze tangibili

La storia ci insegna che tutto è possibile, anche che un incidente informatico riesca a provocare danni fisici (hardware!) all’infrastruttura colpita. Siamo abituati ad assistere ad attacchi criminali che nella maggior parte dei casi abitano unicamente l’ambiente digitale. Ma se concentriamo lo sguardo ad un passato non troppo lontano, viene sicuramente in mente il celebre Stuxnet e i danni che ha provocato dal punto di vista fisico, all’impianto in Iran di arricchimento dell’uranio.

Quello che è successo poche settimane fa non è molto differente, se non per il fatto che ha coinvolto una acciaieria industriale, sempre in Iran che, conseguentemente ha preso fuoco.

Cosa è successo nell’acciaieria iraniana?

In questo esempio, l’attaccante si è infiltrato nel sistema IT industriale, si è spostato lateralmente nell’IoT e ha registrato tutto tramite il Building Management System (BMS), in formato video.

Il gruppo offensivo Gonjeshke Darande, conosciuto anche come Predatory Sparrow, ha segnalato un attacco informatico ai produttori di acciaio iraniani: Khouzestan Steel Company (KSC), Mobarakeh Steel Company (Isfahan) (MSC), Hormozgan Steel Company (HOSCO). Secondo quanto rivendicato l’attacco risale al 27 giugno.

I video delle conseguenze e gli screenshot dei sistemi interni sono stati rilasciati a dimostrazione delle loro azioni malevole. Il gruppo inoltre motiva la scelta degli obiettivi dal fatto che le aziende sono sottoposte a sanzioni, ma nonostante ciò continuano il loro lavoro. Gli attacchi sarebbero una risposta all’aggressione iraniana (che non è specificata). I post sottolineano anche che gli attacchi informatici vengono effettuati in modo che le persone innocenti non soffrano.

Oggi, noi, “Gonjeshke Darande”, abbiamo effettuato attacchi informatici contro l’industria siderurgica iraniana affiliata all’IRGC e alla Basij: la Khouzestan Steel Company (KSC), la Mobarakeh Steel Company (Isfahan) (MSC) e la Hormozgan Steel Company (HOSCO ).

Canale Telegram di Predatory Sparrow

I ricercatori sono stati in grado di individuare i file associati all’attacco, la cui analisi iniziale indica che il malware soprannominato Chaplin è anche direttamente collegato agli attacchi dell’anno scorso alle ferrovie iraniane.

L’eseguibile Chaplin.exe è una variante di Meteor. Entrambi condividono una base di codice comune, ma Chaplin, a differenza di Meteor e delle sue precedenti varianti Stardust e Comet, non dispone di una funzione wiper.

Inoltre, Chaplin non contiene registri di debug, ma include informazioni importanti su RTTI (RunTime Type Information). Inizia la sua esecuzione disabilitando le schede di rete, disconnettendo l’utente ed eseguendo il binario in un nuovo thread Screen.exe.

Il file forza l’accensione del display, blocca l’interazione dell’utente con il computer e riproduce video.wmv utilizzando l’oggetto COM Filter Graph Manager ed elimina la chiave di registro “Lsa”, impedendo il corretto avvio del sistema.

Il video di un frame corrisponde a una foto caricata dagli attaccanti sui social media, che mostra i loghi delle vittime di Predatory Sparrow: Khouzestan Steel Company (KSC), Iranian Oil Company, Ministero delle Strade e dello Sviluppo Urbano, Ferrovie iraniane.

Come in precedenti incidenti, gli hacker hanno lasciato un numero di telefono appartenente all’ufficio del leader supremo iraniano per essere contattati. Inoltre, come parte dell’attacco, sono stati rilasciati archivi ZIP per una dimensione di 20 GB contenenti email e comunicazioni riservate delle società colpite.

Al momento non è chiaro se Chaplin disponga di moduli che gli consentano di interagire con le apparecchiature industriali sulla rete OT di Khouzestan Steel.

I ricercatori di Certfa Labs, a giudicare dal video presentato dagli hacker, suggeriscono che l’interazione con le apparecchiature industriali dell’impianto potrebbe avvenire attraverso un altro canale: attraverso il pannello di controllo di proprietà di Irisa, che fornisce servizi di rete e fornisce infrastrutture industriali alle aziende iraniane.

Allo stesso tempo, gli specialisti non escludono che Gonjeshke Darande possa ancora avere accesso alle reti di altre organizzazioni.

Il gruppo Gonjeshke Darande / Predatory Sparrow

Predatory Sparrow, nome con il quale si identificano nel mondo occidentale (mentre l’altro è l’originale in persiano), è un gruppo organizzato che si riconosce come un insieme di attivisti informatici.

Hanno un canale Telegram, account Twitter e anche un logo identificativo.

Tuttavia, tra gli esperti sorgono dubbi, non ancora colmati che possano avere a che fare anche con lo stato israeliano, con ramificazioni che lo identificherebbero come un gruppo di “militari informatici”, sovvenzionati dallo stato.

“Si dichiarano un gruppo di attivisti informatici, ma data la loro sofisticatezza e il loro alto impatto, riteniamo che il gruppo sia gestito o sponsorizzato da uno stato nazionale”, afferma Itay Cohen, capo della ricerca informatica a Check Point Software.