AGI - Potrebbe essere stata una mail, o un click su un link ad aver fermato l'8 maggio gli oltre 8.850 chilometri di oleodotti della Colonial Pipeline. La più grande rete di condutture degli Stati Uniti, capace di trasportare fino a 2.5 milioni di barili di prodotti petroliferi nelle città del Sud-est, è stata messa in ginocchio da un poderoso, ma in sè semplice, attacco informatico: un ransomware, ovvero un codice che si installa nel computer nel momento in cui viene scaricato un file infetto e che 'protegge' con una crittografia tutti i contenuti che incontra sulla sua strada. File, cartelle, documenti.
Appena un destinatario apre un allegato maligno o fa clic su un link compromesso, il malware viene scaricato nel sistema dell'utente e comincia il suo lavoro di crittografia dati. Al momento non si conoscono i dettagli dell'attacco alla Colonial Pipeline, ma tutto lascia intendere che deve essere successo qualcosa di simile. Perché il meccanismo è sempre lo stesso, da qualche decennio.
Il software infettante (malware) ha in questo caso una caratteristica in più: infetta, blocca i sistemi crittografandoli, e l'attaccante chiede un riscatto per togliere il disturbo (ransom, in inglese, ovvero riscatto). Un problema sempre più urgente per aziende, soprattutto quando lavorano in settori strategici.
La protezione di infrastrutture critiche
Ma come è stato possibile un attacco di simile portata, a un'infrastruttura così delicata? "Non è detto che un'infrastruttura critica sia per forza meglio protetta rispetto alle altre. Anzi, spesso è vero il contrario, perché si tratta di vecchie infrastrutture, gestite da aziende nate in un mondo pre-digitale, che a un certo punto sono andate online per necessità, molto velocemente e senza metodologie adeguate al rischio". Così all'AGI Matteo Flora, esperto di sicurezza informatica e amministratore delegato di The Fool.
"Da molti anni gli esperti di cybersecurity mettono in guardia da questo tipo di attacco, che è diventato sempre più frequente", spiega Flora. I dati più recenti raccolti da Statista dicono che nel 2019 il 63% delle aziende ha registrato qualche tipo di attacco ransomware. "A questo bisogna aggiungere che questi bersagli sono obiettivamente più vulnerabili di altri da un punto di vista strettamente socioeconomico. Queste infrastrutture devono essere protette. Negli ultimi anni sono emerse vulnerabilità importanti, che danno all'aggressore un potere mai visto prima. E questo potere viene utilizzato per colpire bersagli strategici che possono essere oleodotti, o dighe, o turbine o istituti di credito. Per farlo vengono investiti molti soldi. Se le aziende vogliono proteggersi devono investire altrettante risorse, se non di più", aggiunge l'esperto.
La matrice degli attacchi
Ma ciò potrebbe non bastare come spiegazione. "Questo attacco sembra avere matrice chiara: è stato fatto per soldi. Ma cosa accade se l'attaccante è mosso dalle mire di uno Stato? Uno stato puo' investire per colpire un obiettivo che ritiene fondamentale molto di più di quanto un privato possa investire per difendersi. Questo crea un disallineamento difficilmente colmabile", commenta all'AGI Stefano Zanero, professore associato di Informatica al Politecnico di Milano. Un problema che al momento "non ha una soluzione chiara", aggiunge Zanero, che tuttavia individua in partnership "pubblico-privato una possibile via per proteggere le infrastrutture più delicate".
"Gli attaccanti di Colonial Pipeline non sono dei cyberterroristi, almeno così sembra, è un gruppo che ha attaccato per ottenere un riscatto. Dalla dichiarazione dell'azienda si capisce che non hanno infettato i sistemi che consentono di spostare il carburante, ma i sistemi informatici aziendali, comunque impedendo loro di fatto di lavorare", continua Zanero.
"L'attacco in sè è sorprendente, ma comunque, al di là della tipologia di lavoro che svolge, bisogna considerare che Colonial Pipeline è un'azienda come tante altre, e ha avuto un attacco ransomware proprio come decine di migliaia di altre aziende. Il problema in questo caso è che ha un ruolo fondamentale per la società, e attaccare un'azienda di questo tipo ha un impatto per tutti molto maggiore. Al momento però non è possibile capire la natura di questo attacco, se cioè è dovuto a un errore dell'azienda o alla bravura degli attaccanti. Bisognerà aspettare qualche giorno ancora per capirlo", conclude.
Che tipo di attacco ha subito Colonial
Al di là delle responsabilità e delle conseguenze per l'azienda, in questo caso l'attacco assume un'importanza particolare, perché l'obiettivo sono state le infrastrutture petrolifere statunitensi. "Se guardiamo a questo attacco, possiamo dire che si tratta di un classico attacco ransomware di tipo Ryuk. Questa tipologia è particolarmente affezionata al mercato statunitense, infatti il 15% degli attacchi Ryuk avviene negli Stati Uniti rispetto al 3% che avviene in Italia", commenta all'AGI Pierluigi Torriani, Security Engineering Manager di Check Point, tra le principali società di sicurezza informatica.
"Tuttavia, se consideriamo che un'organizzazione in Italia viene colpita 817 volte alla settimana rispetto alle 695 volte di un'organizzazione nel resto del mondo e che ogni 10 secondi un'organizzazione è vittima di un ransomware in tutto il mondo, è bene ribadire ancora una volta a tutte le organizzazioni di difendersi dalla crescente minaccia del ransomware con soluzioni che possano prevenire questi attacchi e fermare le fughe di dati", continua Torriani, e aggiunge: "Ovviamente è evidente che più le dimensioni del target crescono più gli impatti di un attacco diventano importanti. Nelle grandi imprese si parla di salvaguardare il business, in contesto di infrastrutture critiche si parla di salvaguardare un Paese, quindi una strategia di cybersecurity che coinvolga sia il singolo cittadino sia la i vertici governativi è assolutamente fondamentale".
L'ombra di un altro Stato
Se le responsabilità di Colonial non sono chiare, non è nemmeno del tutto evidente chi possa aver attaccato. Che il malware sia stato 'iniettato' dietro una richiesta di riscatto è un indizio importante. Ma non chiarisce tutti i dubbi. "L'attacco ransomware Colonial è un esempio di primo piano degli assalti online che le aziende americane, le scuole, gli ospedali e altre organizzazioni affrontano regolarmente", spiega all'AGI Gianclaudio Torlizzi, direttore generale della società di consulenza finanziaria T-Commodity.
"Dovrebbe anche servire come un campanello d'allarme per la particolare esposizione dell'industria energetica, secondo i consulenti e altri che lavorano con le aziende per rafforzare la sicurezza informatica", aggiunge. L'attacco dell'8 maggio a Colonial Pipeline potrebbe inoltre "avere un peso sulla difesa se si scoprisse che è stato sponsorizzato dallo Stato. Reuters ha riferito che potrebbe essere stato messo a segno da 'Darksidè, una banda criminale cibernetica. Ma si tratta di un'ipotesi in questo punto e ed è necessario che si completino le indagini". Anche perché, conclude Torlizzi, "bisogna segnalare che l'attacco è avvenuto dopo la visita del Segretario di Stato Blinken in Ucraina".