L’attacco ransomware al gasdotto USA: aumentano i rischi

L’attacco informatico del Colonial Pipeline rafforzerà la spinta dell’amministrazione Biden per aumentare le difese di sicurezza informatica degli Stati Uniti, ma l’ascesa di gruppi di ransomware più professionalizzati e campagne di estorsione porterà solo a più attacchi informatici alle aziende occidentali nonostante la politica del governo.

   La Colonial Pipeline Co. ha chiuso il suo sistema di gasdotti – il più grande gasdotto di prodotti petroliferi che serve gli Stati Uniti orientali – il 7 maggio dopo aver appreso che i suoi sistemi informatici hanno subito un attacco informatico, ha detto la società in una dichiarazione rilasciata sul suo sito web il giorno seguente.

   In un aggiornamento del 9 maggio, la società ha affermato che le quattro linee principali del sistema di gasdotti sono rimaste offline, ma ha ripristinato le operazioni su alcuni gasdotti più piccoli che trasportano prodotti dai terminali lungo le linee principali ai punti di consegna. In risposta alla chiusura, il Dipartimento dei trasporti ha dichiarato un’emergenza in 17 stati e nel distretto di Columbia e ha emesso una deroga per ridurre i requisiti di spedizione del carburante sulle autocisterne. Colonial ha dichiarato in un aggiornamento del 10 maggio che i segmenti stanno lentamente tornando online e che aveva l’obiettivo di “ripristinare sostanzialmente il servizio operativo entro la fine della settimana”. Nel frattempo, sono possibili carenze localizzate lungo la costa orientale degli Stati Uniti, così come acquisti di panico per timori di una carenza.

   Il gruppo criminale dell’Europa orientale DarkSide ha effettuato l’attacco ransomware, interrompendo il sistema IT dell’azienda, sebbene non necessariamente la tecnologia operativa dei sistemi di pipeline direttamente. Anche se l’attacco non sembra aver preso di mira il controllo industriale della pipeline, come SCADA, i sistemi – che avrebbero dato agli hacker la capacità di interrompere le operazioni da soli – gli attacchi all’infrastruttura IT hanno spesso un impatto sulle operazioni, in quanto possono anche interrompere la fatturazione, i rapporti di conformità e altre attività critiche per l’azienda.

   Bloomberg ha riferito che gli hacker hanno rubato circa 100 GB in due ore il 6 maggio, bloccato computer, file crittografati e richiesto il pagamento. DarkSide ha quindi minacciato di rilasciare pubblicamente i dati rubati se non fossero stati pagati, un cosiddetto attacco ransomware a doppia estorsione che il gruppo è noto per aver condotto. Non è noto pubblicamente se la Colonial Pipeline Co. abbia pagato un riscatto; l’FBI raccomanda alle aziende di non divulgare tali informazioni per evitare di incoraggiare i riscatti di imitazione.

   Il cyberattacco è il più significativo attacco informatico pubblicamente noto al settore energetico statunitense ed espone la vulnerabilità delle infrastrutture critiche statunitensi e delle società statunitensi agli attacchi di ransomware, attacchi che il governo degli Stati Uniti sta cercando di combattere sempre di più. Gli attacchi ransomware sono aumentati del 485% nel 2020 rispetto al 2019, secondo Bitdefender, un’importante azienda rumena di sicurezza informatica. Sebbene queste statistiche includano individui, non solo aziende, indicano la minaccia generalmente crescente, senza dubbio in parte per maggiori opportunità per gli aggressori a causa di COVID-19. Il lavoro da casa può spesso richiedere l’uso di tecnologie come i protocolli di desktop remoto che gli hacker possono sfruttare. Secondo Bitdefender, quasi due terzi degli attacchi nel 2020 si sono verificati nella prima metà dell’anno quando le persone sono passate rapidamente a lavorare da remoto senza avere lo stesso grado di protezione e pratiche di sicurezza informatica tipiche degli uffici. Poiché è probabile che il lavoro remoto rimanga molto più comune dopo la pandemia rispetto a prima della pandemia, il vettore di attacco di accesso remoto per gli hacker rimarrà attraente.

   Il Dipartimento di Giustizia degli Stati Uniti ha istituito una task force in aprile per far fronte alla crescente minaccia del ransomware. Alla fine di aprile, la Cybersecurity and Infrastructure Security Agency (CISA) del Department of Homeland Security ha emesso le sue prime due citazioni ai sensi della legge di gennaio che consente alla CISA di contattare i fornitori di servizi Internet statunitensi al fine di ottenere un elenco di clienti vulnerabili agli attacchi informatici. Il Cybersecurity and Infrastructure Security Agency Act del 2018 ha creato CISA con l’obiettivo esplicito di rafforzare la sicurezza informatica degli Stati Uniti in tutto il governo e tra il governo e il settore privato.

   L’attacco, l’ultimo di una serie di attacchi informatici di alto profilo contro gli Stati Uniti, costringerà l’amministrazione Biden a intraprendere ulteriori misure per rafforzare le difese di sicurezza informatica degli Stati Uniti e attuare riforme che riducono la vulnerabilità degli Stati Uniti. Gli  hack di SolarWinds collegati alla Russia e Microsoft Exchange collegati alla Cina hanno già provocato una significativa pressione politica su Biden. L’attacco informatico del Colonial Pipeline – e in particolare se interrompe in modo significativo la distribuzione di benzina, carburante per aerei e diesel negli Stati Uniti, causando così carenze – non farà che aumentare la pressione. L’amministrazione Biden sta lavorando a un ordine esecutivo che dovrebbe essere rilasciato a breve per rafforzare le difese di sicurezza informatica degli Stati Uniti.

   L’attuale iterazione dell’ordine esecutivo fisserebbe gli standard di sicurezza informatica per il governo federale e gli appaltatori che sviluppano software, come l’utilizzo dell’autenticazione a più fattori come standard prestabilito. L’ordine richiederebbe inoltre al governo federale di implementare una politica “zero trust”, in base alla quale gli utenti di una rete non dovrebbero automaticamente fidarsi delle informazioni e altri utenti già presenti nella rete e i fornitori dovrebbero segnalare rapidamente eventuali vulnerabilità scoperte nel loro software. Il governo spera che, fissando gli standard per gli appaltatori governativi, possa in gran parte dettare standard e pratiche più ampi per lo sviluppo del software a causa della dipendenza del settore dai contratti governativi e della necessità di rispettarli o rischiare di essere escluso da contratti lucrativi.

   L’ultimo attacco – e le sue conseguenze più concrete e visibili – porterà a una maggiore pressione sull’amministrazione Biden per espandere i suoi attuali piani per aumentare le difese di sicurezza informatica, che potrebbero non affrontare adeguatamente la minaccia dimostrata nell’attacco al Colonial Pipeline. L’attuale iterazione dell’ordine esecutivo è stata scritta pensando agli hack di SolarWinds e Microsoft Exchange sostenuti dallo stato. Entrambi gli attacchi precedenti erano, rispettivamente, hack di software della catena di approvvigionamento sostenuti dalla Russia e dalla Cina che hanno consentito agli hacker di prendere di mira un’ampia gamma di agenzie governative e società private esposte una volta scoperta la vulnerabilità, da qui l’attuale attenzione dell’ordine esecutivo sui fornitori di software.

   L’esatto vettore di attacco dell’hack del Colonial Pipeline non è stato reso pubblico e la stragrande maggioranza delle infrastrutture critiche degli Stati Uniti, incluso il sistema di condutture coloniali, è di proprietà e gestita da privati, il che significa che i nuovi requisiti del progetto di ordine esecutivo per gli appaltatori governativi potrebbero non influire rapidamente sui privati operatori di infrastrutture come Colonial Pipeline.

   Anche prima dell’attacco al Colonial Pipeline, alcuni avevano messo in dubbio la portata dell’ordine e se fosse abbastanza ampio per combattere le minacce alla sicurezza informatica emergenti e allo stesso tempo abbastanza ristretto da evitare di generare falsi allarmi significativi visti i suoi requisiti sulla segnalazione obbligatoria. Anche se l’attacco non sembra essere sponsorizzato dallo stato, l’incidente porterà a ulteriori richieste di risposta alle minacce sulle infrastrutture critiche poste da Cina, Iran, Corea del Nord e Russia.

   Il New York Times ha riferito il 9 maggio che i funzionari della Casa Bianca avevano organizzato riunioni per discutere se rafforzare o espandere l’ordine esecutivo. Le conseguenze visibili e reali dell’attacco possono aumentare la pressione dell’opinione pubblica per un’azione più significativa di quanto visto dopo i precedenti attacchi informatici.

Bianca Laura Stan