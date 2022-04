In seguito all’alert diffuso dalla CISA, Mandiant presenta una nuova ricerca su un insieme di strumenti di “attacco informatico eccezionalmente rari e pericolosi”, denominati “INCONTROLLER”.

La ricerca completa, insieme a consigli di mitigazione e rilevamento per le organizzazioni, può essere consultata qui: https://www.mandiant.com/resources/incontroller-state-sponsored-ics-tool

INCONTROLLER include tre strumenti che consentono all’attaccante di inviare istruzioni a una varietà di diversi dispositivi inerenti al sistema di controllo industriale (ICS), incorporati in differenti tipologie di macchinari in diverse industrie critiche (ad esempio le centrali elettriche, fresatrici, presse industriali utilizzate in molti differenti settori produttivi, ecc). È possibile che ogni strumento possa essere utilizzato indipendentemente, o che l’attaccante possa utilizzare i tre strumenti insieme per attaccare un singolo ambiente.

Questi strumenti possono essere utilizzati per:

Fermare macchinari critici;

Sabotare processi industriali;

Disattivare i controlli di sicurezza per causare la distruzione fisica dei macchinari che potrebbe potenzialmente anche portare alla perdita di vita umane.

L’autore evidenzia che la funzionalità di INCONTROLLER “è coerente con il malware utilizzato nei precedenti attacchi informatici da parte della Russia”.

Di conseguenza, gli esperti di Mandiant ritengono che “INCONTROLLER” rappresenti la più grande minaccia per l’Ucraina, gli Stati membri della NATO e altri Stati che stanno rispondendo attivamente all’invasione russa dell’Ucraina”.

Nathan Brubaker, Director, Intelligence Analysis, Mandiant dichiara: “Mandiant, in collaborazione con Schneider Electric, ha analizzato di recente una serie di nuovi strumenti di attacco focalizzati ai sistemi di controllo industriale (ICS), che abbiamo denominato INCONTROLLER, realizzati per colpire specifici dispositivi di Schneider Electric e Omron, incorporati in diverse tipologie di macchinari utilizzati in differenti settori. INCONTROLLER rappresenta una capacità di attacco informatico di eccezionale rarità e pericolosità, dopo STUXENT, INDUSTROYER e TRITON, come quarto malware focalizzato all’attacco ICS. INCONTROLLER è molto probabilmente un attaccante di tipo “State Sponsored” e possiede capacità di interrompere, sabotare e, potenzialmente, distruggere. Non abbiamo la possibilità di attribuire in definitiva il malware ma rileviamo che l’attività è coerente con l’interesse storico da parte della Russia nei confronti degli ICS. INCONTROLLER pone un rischio critico per le organizzazioni che utilizzano questi dispositivi. Le organizzazioni dovrebbero pertanto intraprendere azioni immediate per determinare se i dispositivi ICS presi di mira siano presenti nei propri ambienti e iniziare a prevedere contromisure specifiche da parte del fornitore, metodi di rilevamento e hunting”.

