Oggi i sistemi IT e quelli OT sono mondi che parlano fra loro, e non potrebbe essere altrimenti. I vantaggi di connettere sistemi industriali ai sistemi informatici sono enormi: è possibile controllare i macchinari da remoto, ma soprattutto acquisire una mole enorme di dati che possono venire usati per ottimizzare la produzione, ma anche per introdurre soluzioni di manutenzione predittiva, così da limitare i tempi di fermo macchina non programmati. Ci sono però alcune criticità e, come facilmente prevedibile, connettendo i macchinari alle reti aumentano i rischi dal punto di vista informatico. E trattandosi di impianti industriali, le conseguenze potrebbero essere serie.
Per valutare la presenza di vulnerabilità all’interno di un sistema OT è utile provare a mettersi nei panni di un attaccante e cercare di violare le misure di sicurezza. È quello che ha fatto Trend Micro, in collaborazione con R.F. Celada, azienda che realizza torni, sistemi di fresatura e rettifica e in generale macchine industriali. Nello specifico, sono stati testati i macchinari a controllo numerico computerizzato (CNC) forniti da quattro importanti produttori, tutti vulnerabili a qualche tipologia di attacco. In seguito, sono state pubblicate le patch per metterli in sicurezza.
Smart Factory: cyber attack che danneggiano le macchine
Nello specifico, l’azienda di sicurezza ha tentato di effettuare una serie di attacchi ai sistemi CNC, verificando se fosse possibile interrompere o sabotare la produzione da remoto. Alcuni di questi attacchi, possono addirittura portare a danni fisici al macchinario. “Gli utensili utilizzati dalle macchine a controllo numerico vengono gestiti, durante la lavorazione, in base alla loro geometria, quale la lunghezza e il raggio del tagliente; questo per assicurarsi che siano adatti a produrre un pezzo specifico”, spiega Marco Balduzzi, Sr. Threat Researcher di Trend Micro. “Queste misure vengono effettuate da operatori umani o automaticamente durante la fase di messa a punto della macchina. Tuttavia, la manomissione di queste misure da parte di cybercriminali è un modo per causare danni alla macchina stessa, alle sue parti, o al pezzo su cui sta lavorando”.
Balduzzi spiega di aver condotto test su quattro controller CNC e tutti sono risultati vulnerabili a un attacco mirato a mettere fuori uso il macchinario. “Abbiamo creato un utensile in plastica per dimostrare come l’utensile di una macchina potesse schiantarsi contro il pezzo grezzo su cui sta lavorando a causa di una compensazione negativa, ovvero impostando il valore di usura dell’utensile a -10 mm”, prosegue Balduzzi. “Considerando variazioni minime dei parametri utensile, si potrebbero introdurre micro-difetti all’interno della geometria realizzata dalla macchina utensile; contrariamente, variazioni importanti – nell’ordine di centimetri – potrebbero portare la macchina a schiantarsi con il pezzo in lavorazione piuttosto che con i sistemi di fissaggio predisposti nell’area di lavorazione”.
DoS, falsi allarmi e ransomware
Oltre a danneggiare fisicamente un macchinario CNC, un attaccante potrebbe anche riuscire a metterlo fuori uso tramite un attacco di tipo Denial-of-Service (DoS), rendendolo quindi inaccessibile senza necessariamente rovinare parti meccaniche. In che modo? Per esempio, attivando in continuazione falsi allarmi via software, che porteranno al blocco automatico del macchinario e, di conseguenza, della produzione. Dei quattro CNC messi sotto torchio, due sono risultati vulnerabili a questo tipo di attacco, scagliato dai ricercatori di sicurezza, che sono riusciti a connettersi da remoto ai sistemi di controllo della fabbrica connessa.
I ricercatori di Trend Micro sono anche riusciti a installare un ransomware su tre dei quattro sistemi testati. Sfruttando una condivisione di rete non autenticata, gli esperti sono riusciti ad accedere ai file di una macchina CNC e ad effettuare chiamate al sistema operativo e inserire script, riuscendo a bloccare lo schermo del dispositivo OT. Sfruttando queste vulnerabilità, gli attaccanti potrebbero bloccare a tempo indefinito la macchina o anche riuscire a criptare i file di progetto. L’obiettivo, in questi casi, sarebbe quello di chiedere un riscatto per ripristinare i file o sbloccare il macchinario violato.
Sottrarre i dati dai macchinari OT
Bloccare la produzione non è l’unico obiettivo di un potenziale criminale informatico che, potrebbe essere interessato a sottrarre informazioni riservate. Questo perché le macchine CNC contengono svariati dati e informazioni di produzione che possono essere decisamente appetibili.
I programmi utilizzati per muovere le macchine CNC sono tra le proprietà intellettuali più sensibili, in quanto contengono i dettagli su come realizzare un pezzo specifico. “In uno dei nostri esperimenti, abbiamo mostrato che un aggressore potrebbe accedere da remoto, e in vari modi, al programma in esecuzione sul controllore. Inoltre, essendo questi programmi sviluppati in un linguaggio di programmazione non compilato (chiamato codice G), sono facili da decodificare. I controllori di tre dei quattro produttori testati sono vulnerabili a questo attacco”, spiega Balduzzi.
Bisogna poi tenere conto che sui CNC sono archiviate informazioni di produzione estremamente preziose, che possono rappresentare un vantaggio competitivo e quindi far gola alla concorrenza. Tra queste, i programmi di lavoro, gli utensili e i parametri di produzione utilizzati nella produzione di un pezzo specifico. Anche questi dati potrebbero essere a rischio semplicemente utilizzando chiamate dedicate che non richiedono autenticazione o controlli di accesso alle risorse. Tutti i quattro macchinari in esame sono risultati vulnerabili a questa tipologia di attacchi.
Hijacking della produzione
I ricercatori di Trend Micro hanno provato anche a simulare una serie di scenari di sabotaggio: invece di bloccare la produzione, sono riusciti a modificare i pezzi in lavorazione. “Abbiamo sviluppato un programma che istruisce una macchina CNC a incidere tracce profonde 5,05 mm in un pezzo di metallo grezzo e siamo stati in grado di condurre attacchi che hanno modificato i parametri di usura dell’utensile in modo che lo stesso programma realizzasse incisioni profonde solo 4,80 mm”, afferma Balduzzi.
In questo caso, come sottolinea il ricercatore, sarebbe stato molto semplice rilevare il problema durante le fasi di controllo qualità ma in teoria un attaccante potrebbe introdurre modifiche molto meno evidenti, in grado di sfuggire ai sistemi di analisi, fatto che potrebbe costringere a un ritiro del lotto una volta immesso sul mercato. Con un impatto non solo sui ricavi, ma anche sulla reputazione dell’azienda, che ne verrebbe inevitabilmente danneggiata.
Difendere l’OT: i suggerimenti di Trend Micro
A seguito di questi test i produttori hanno irrobustito la sicurezza, correggendo i bug presenti. È però evidente che è necessario prestare una grande attenzione alla sicurezza dei macchinari connessi, spesso con molti anni alle spalle e non progettati per resistere a questo tipi di attacchi.
Trend Micro consiglia a chi gestisce fabbriche e impianti produttivi anzitutto di installare sistemi di prevenzione e rilevamento delle intrusioni industriali (IPS/IDS), che possono aiutare i produttori a rilevare attività dannose nelle loro reti monitorando il traffico OT in tempo reale.
Poi di segmentare le reti, di modo da limitare le origini di accesso ai soli utenti che ne hanno bisogno, come gli utenti finali e gli operatori delle macchine CNC. Le tecnologie di sicurezza standard, come le reti locali virtuali (VLAN) e i firewall, contribuiscono a ridurre l’esposizione dei servizi di rete delle macchine CNC agli accessi non autorizzati.
Fondamentale è anche mantenere il software delle macchine CNC aggiornato con le ultime patch, andando a limitare l’esposizione di potenziali note vulnerabilità. Infine, ma non meno importante, configurare correttamente le macchine secondo le linee guida e i consigli del produttore, come ad esempio le raccomandazioni relative all’abilitazione della crittografia e dell’autenticazione di rete, ove applicabile