Un nuovo attacco informatico all’acquedotto della città dell’Arkansas ha innescato una nuova indagine da parte dell’FBI e della Homeland Security.
La città di Arkansas City ha rivelato che il suo impianto di trattamento delle acque era stato violato il 22 settembre. La città ha informato le autorità competenti e ha migrato l’impianto idrico al controllo manuale per garantire operazioni sicure.
Tipton (Indiana), le città di Hale Center, Muleshoe, Lockney e Abernathy in Texas e Aliquippa (Pennsylvania) sono alcune delle città in cui si sono verificati attacchi informatici contro i fornitori di acqua nell’ultimo anno.
Le agenzie di intelligence e di polizia statunitensi, tra cui la NSA, la Homeland Security, la CISA e l’FBI, hanno lanciato l’allarme:
le infrastrutture critiche, tra cui acqua, energia e servizi igienici, rappresentano un obiettivo informatico importante e sensibile anche sotto l’aspetto dell’ordine pubblico e sicurezza nazionale.
Analizziamo insieme agli esperti l’ultimo attacco.
Il responsabile della città Randy Frazer ha assicurato ai residenti che l’approvvigionamento idrico rimane completamente sicuro.
“Nonostante l’incidente, la fornitura idrica rimane completamente sicura e non si è verificata alcuna interruzione del servizio. Per precauzione, l’impianto di trattamento delle acque è passato alle operazioni manuali mentre la situazione verra’ risolta
Il media locale KWCH.com ha riferito che gli operatori tecnici dell’acquedotto dell’Arkansas hanno visto un messaggio pop-up sullo schermo dopo il malfunzionamento dei sistemi. Il messaggio, che si suppone essere una nota ransomware, conteneva un indirizzo e-mail da contattare.
Non è chiaro se la città dell’Arkansas pagherà il gruppo ransomware non ancora identificato. L’FBI e la Homeland Security consigliano sempre alle organizzazioni di non cedere alle richieste, poiché non vi è alcuna garanzia di recupero o sicurezza futura.
L’attacco è stato un ennesimo caso di ransomware o un sabotaggio?
Sebbene non siano previsti cambiamenti nella fornitura idrica o nella qualità dell’acqua, la situazione ha fatto suonare l’allarme a livello federale.
Itay Glick , vicepresidente dei prodotti presso OPSWAT , fornitore globale di soluzioni per la sicurezza informatica delle infrastrutture critiche , ha dichiarato che l’incidente in Arkansas evidenzia le mutevoli sfide in materia di sicurezza informatica che le infrastrutture critiche devono affrontare, in particolare nei settori idrico e delle acque reflue.
“Fortunatamente, non c’è stata alcuna interruzione della fornitura idrica e le informazioni sensibili sono rimaste al sicuro. Tuttavia, attacchi simili potrebbero facilmente causare conseguenze più gravi, ricordando l’incidente del malware stuxnet.
Gli attacchi informatici al sistema idrico negli Stati Uniti di solito non attraggono molta attenzione. Tuttavia, l’ attacco idrico di aprile all’Indiana e quello di novembre ad Aliquippa, Pennsylvania , si sono distinti per essere stati eseguiti da attori della minaccia supportati da Russia e Iran .
La città e le autorità dell’Arkansas non hanno rilasciato alcuna informazione ufficiale sul recente attacco, ma dato che l’FBI e il Dipartimento della Sicurezza Nazionale sono sul posto per verificare la situazione, potrebbe esserci una forte possibilità che dietro gli incidenti in Arkansas ci sia anche uno Stato-nazione.
Glick dell’OPSWAT ha spiegato perché l’FBI si trovava in Arkansas e su cosa potrebbero indagare.
“Credo che l’FBI cercherebbe il collegamento a governi ostili, ovvero chi c’è dietro l’attacco, e gli IOC (indicatori di compromissione) che possono distribuire ad altre organizzazioni per una migliore protezione, così come gli artefatti dormienti che sono stati impiantati per riottenere l’accesso persistente.
Glick ha aggiunto che, in assenza di dettagli specifici derivanti dalle indagini su questo incidente, è difficile stabilire se l’attacco al depuratore di Arkansas City sia stato puramente motivato da ragioni finanziarie o se ci sia stato un intento più strategico, come un sabotaggio.
“Tuttavia, data la natura critica dei servizi idrici e il crescente coinvolgimento di actor statali negli attacchi informatici, è importante che le organizzazioni rimangano vigili e prendano in considerazione tutte le possibili motivazioni”.
Le note sul ransomware non nascono dal nulla
Shawn Waldman : CEO e fondatore di Secure Cyber , una società di consulenza sulla sicurezza informatica che gestisce servizi di rilevamento e risposta per infrastrutture critiche , ha detto che il motivo per cui le forze dell’ordine federali si trovano ad Arkansas City è perché è una città più piccola che potrebbe probabilmente usare l’aiuto degli investigatori federali. “Si tratta anche di reati federali, che giustificano un’indagine da parte dell’FBI”, ha aggiunto Waldman.
“Probabilmente (FBI e Homeland) si stanno concentrando sui sistemi di controllo dell’acqua per assicurarsi che l’incidente del ransomware non si sia diffuso nella rete idrica vera e propria”.
Si stanno anche concentrando sull’identificazione dell’autore della minaccia e, se necessario, sull’apertura di canali di comunicazione con lui
Parte del problema è l’accesso front-end e back-end esposto ai sistemi e la mancanza di segmentazione della rete per proteggere gli ambienti OT ( Operational Technology ).
Questa mancanza di separazione (segmentazione) può consentire a un attacco proveniente dalla rete cittadina di infiltrarsi in infrastrutture critiche, come un impianto di trattamento delle acque”, ha affermato Waldman.
Anche la protezione inadeguata dei sistemi Human Machine Interface (HMI) è una preoccupazione importante. Gli HMI consentono agli ingegneri di controllare il flusso dell’acqua, aprire e chiudere le valvole e gestire le uscite chimiche, rendendoli una delle parti più sensibili della struttura. Una possibile violazione in questa zona sensibile potrebbe portare a pericolosi cambiamenti nella fornitura idrica”, ha affermato Waldman.
Il costo della sicurezza idrica e le lacune normative
Entrambi i recenti attacchi informatici del 2024 contro gli Stati Uniti (a Tipton, Indiana, e Alequipa, Pennsylvania) hanno compromesso OT e portato a un override manuale. Al contrario, altri attacchi idrici storici di solito prendono di mira partner, aziende e dati sensibili degli utenti.
Gli attori delle minacce che prendono di mira gli OT, le macchine che fanno funzionare un impianto di trattamento delle acque e sono spesso automatizzate, cercano specificamente di causare quanti più danni possibili e creare un ambiente di tensione diffondendo la paura tra la popolazione. Dopo tutto, l’acqua è essenziale per ogni famiglia.
Waldman ha affermato che non è possibile tornare ai sistemi air-gapped , che funzionano anche senza Internet, a causa della grave mancanza di consulenti qualificati e di aziende in grado di supportare i sistemi di controllo.
Penso che il Congresso debba farsi avanti e spingere per requisiti più severi per gli operatori, Waldman ha affermato che un aumento delle tariffe idriche per compensare i costi della sicurezza informatica non dovrebbe essere scartato.
“Non possiamo semplicemente scegliere di non fare nulla a causa del costo e lasciare questi sistemi vulnerabili alla compromissione. Sarebbe irresponsabile”.
Glick dell’OPSWAT ha inoltre chiesto più normative e l’adozione di misure preventive, come gateway di sicurezza, sistemi di rilevamento delle intrusioni e regolari audit di sicurezza per ridurre i rischi.
“Avere un piano di risposta agli incidenti ben definito è fondamentale”, ha affermato Glick. Inoltre, la formazione dei dipendenti è altrettanto importante, poiché l’errore umano rimane un punto di ingresso comune per le minacce.
La conclusione
Sfortunatamente, gli attacchi informatici contro le strutture idriche sono appena iniziati. I gruppi di minaccia stanno prendendo sempre più di mira il settore e imparano da ogni attacco. L’escalation si nota chiaramente quando gli impianti sono costretti a fornire l’acqua ai propri cittadini in modalità manuale.
Se gli allarmi sull’ondata di attacchi informatici contro gli Stati Uniti continueranno a cadere nel vuoto, è probabile che i danni e i disagi aumenteranno e raggiungeranno un punto insostenibile ed estremamente pericoloso.
Gli impianti idrici come quelli energetici nucleari o naturali in tutto il paese devono ripensare la propria sicurezza con o senza assistenza federale e raggiungere gli standard della difesa moderna. Settori critici come questi non posdono essere vulnerabili in questo modo.