Nuovo Malware Minaccia Processi Ingegneristici Critici nei Sistemi di Controllo Industriale

Forescout Research ha identificato una minaccia in crescita che mira alle postazioni di lavoro di ingegneria nelle tecnologie operative (OT) e nei sistemi di controllo industriale (ICS).

L’analisi, pubblicata martedì, evidenzia come i malware che prendono di mira queste postazioni di lavoro siano sempre più comuni.

La ricerca si è concentrata sui malware rilevati in VirusTotal, che includeva incidenti che coinvolgevano la workstation di ingegneria Mitsubishi infetta dal worm Ramnit, oltre a un nuovo malware sperimentale noto come Chaya_003, che interrompe i processi di ingegneria Siemens.

I malware specifici per OT, sebbene meno diffusi rispetto agli attacchi su software aziendale o sistemi operativi mobili, rappresentano una preoccupazione significativa per gli operatori di sicurezza negli ambienti industriali.

Le stazioni di lavoro di ingegneria, che svolgono un ruolo centrale nel controllo e nel monitoraggio delle infrastrutture critiche, sono obiettivi principali per questi tipi di attacchi. Un rapporto del SANS Institute ha identificato il compromesso della stazione di lavoro di ingegneria come uno dei principali vettori di attacco, responsabile di oltre il 20% degli incidenti nei sistemi OT.

L’analisi di Forescout si è concentrata sui malware che prendono di mira le stazioni di lavoro di ingegneria, che utilizzano sia sistemi operativi tradizionali come Windows, sia software di ingegneria specializzati, come il Siemens TIA Portal e il Mitsubishi GX Works.

La ricerca ha individuato due principali gruppi di malware che mirano a queste postazioni di lavoro. In un caso, gli eseguibili di Mitsubishi GX Works sono stati infettati dal worm Ramnit in due incidenti separati. Il secondo coinvolgeva tre campioni di una nuova variante di malware, Chaya_003, progettata appositamente per terminare i processi di ingegneria Siemens.

Ramnit, una variante di malware inizialmente nota per il suo targeting delle credenziali bancarie, si è evoluta in una piattaforma più sofisticata capace di infettare i sistemi OT. I recenti risultati di Forescout dimostrano che Ramnit rimane una minaccia persistente per le reti OT.

Il malware può diffondersi attraverso dispositivi fisici compromessi come le chiavette USB o sistemi di rete scarsamente protetti. Sebbene il vettore specifico per queste infezioni rimanga poco chiaro, è evidente che il malware continua ad affliggere gli ambienti OT.

Chaya_003, d’altra parte, rappresenta una minaccia nuova ed in evoluzione. La funzionalità primaria del malware include la terminazione di processi di ingegneria critici. Il suo design suggerisce tentativi deliberati di mascherarsi come processi di sistema legittimi per evitare il rilevamento da parte del software di sicurezza.

Forescout afferma che il malware viene distribuito attraverso un’infrastruttura di comando e controllo (C2) che si basa su servizi legittimi come i webhook di Discord, rendendolo più difficile da rilevare.

La ricerca sottolinea l’importanza di garantire la sicurezza delle postazioni di lavoro di ingegneria per prevenire questo tipo di attacchi. Le raccomandazioni includono l’aggiornamento regolare del software, l’implementazione di una solida protezione degli endpoint e la segmentazione delle reti per limitare l’accesso ai sistemi critici.

L’aumento della sofisticazione di questi attacchi, alimentato dalla disponibilità di strumenti AI generativi, evidenzia la necessità di misure di sicurezza proattive nel settore OT.

La ricerca di Forescout avverte anche che man mano che i malware che prendono di mira i processi di ingegneria diventano più accessibili, la linea tra gli aggressori meno esperti e quelli più avanzati continua a sfumare, rendendo più difficile distinguere tra minacce semplici e altamente sofisticate.