Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Irongate: un malware simile a Stuxnet minaccia sistemi ICS e SCADA

ICS  Irongate  SCADA  Stuxnet   giovedì, 9 giugno 2016

Gli esperti di sicurezza di FireEye hanno identificato una nuova famiglia di malware, battezzata Irongate, progettata per colpire sistemi di controllo industriali (ICS) e SCADA.

Questo malware utilizza tecniche simili a quelle del noto worm Stuxnet, che manipola sistemi SCADA per nascondere le loro reali letture ai sistemi di controllo e consentire di condurre attacchi a sistemi industriali e infrastrutture critiche.

Irongate è stato individuato per la prima volta verso la fine del 2015 durante l’analisi di alcuni campioni di codice caricati su VirusTotal già dal 2014, ma non classificati all’epoca come malware, che contenevano riferimenti a sistemi SCADA.

Stando a quanto riportato da FireEye, questi campioni erano progettati per attaccare uno specifico processo industriale in esecuzione all’interno di un ambiente ICS Siemens simulato. Irongate agisce sostituendo una libreria dinamica con una DLL malevola, interferendo così con le comunicazioni tra il software di monitoraggio e i sistemi PLC (Programmable Logic Controllers), computer utilizzati per l’automazione di processi industriali, che controllano ad esempio il funzionamento di macchinari in catene di montaggio, l’apertura e chiusura di valvole, di circuiti elettrici, ecc.

Lo scopo principale di Irongate è quello di realizzare un attacco di tipo man-in-the-middle per manipolare i dati provenienti dai PLC nascondendo allo stesso tempo la sua presenza agli operatori, con un approccio del tutto similare a quello di Stuxnet. La DLL malevola registra cinque secondi di traffico “normale” da un PLC verso l’interfaccia utente e lo riproduce, mentre allo stesso tempo invia dati di risposta alterati al PLC.

Un’altra caratteristica chiave di Irongate consiste nella capacità di riconoscere la presenza di una sandbox al fine di evitare di essere scoperto ed analizzato.

Le peculiarità di questo malware hanno condotto i ricercatori di FireEye a concludere che si tratta molto probabilmente di un proof-of-concept realizzato a scopi di test o ricerca. Apparentemente Irongate funziona solamente all’interno di un ambiente Siemens simulato, utilizzato per testare sistemi ICS prima che vengano installati in ambiente di produzione, e non è in grado di sfruttare alcuna falla presente nei sistemi reali. Non si tratta quindi al momento di una reale minaccia.

Ciò nonostante, FireEye ritiene che la scoperta di questo malware rappresenti il segnale di una nuova tendenza che dovrebbe mettere in allarme gli operatori di sistemi industriali, spingendoli a rafforzare i sistemi di sicurezza delle reti ICS in vista di nuove potenziali minacce. A questo scopo FireEye ha messo a disposizione un’analisi tecnica dettagliata di Irongate, assieme ad alcuni indicatori di compromissione (IoC).

Notizie correlate

Gravi vulnerabilità in switch Ethernet industriali Rockwell Automation

8 aprile 2019

L'ICS-CERT ha pubblicato tre avvisi di sicurezza che riguardano numerose vulnerabilità di gravità elevata all'interno delle famiglie di switch Ethernet industriali Stratix e ArmorStratix di Allen-Bradley - Rockwell Automation.Leggi tutto

Vulnerabilità critiche in switch Ethernet industriali Moxa

12 marzo 2019

Sono state scoperte diverse vulnerabilità critiche in switch Ethernet industriali delle famiglie IKS e EDS prodotti da Moxa.Leggi tutto

Vulnerabilità in sistemi di controllo e automazione industriali Yokogawa

7 gennaio 2019

È stata recentemente svelata l'esistenza di una vulnerabilità di gravità elevata di tipo DoS in sistemi di controllo distribuito (DCS) e altri prodotti della società giapponese Yokogawa. Leggi tutto