Arabia Saudita, 2017. Un normale turno di lavoro all'interni di un impianto petrolchimico. Poi, improvvisamente, uno dei sistemi di sicurezza dell'impianto va in modalità di emergenza e si spegne. I tecnici guardano i monitor, preoccupati ma non allarmati: a volte succede, ci sono guasti tecnici, false allerte. Riavviano il sistema e tornano al lavoro, non sanno che hanno appena evitato un disastro industriale per una ragione assurda: un bug nel codice dell'attaccante.
I sistemi SIS: l'ultima linea di difesa che non dovrebbe mai cadere
Per capire Triton, bisogna capire cosa sono i sistemi di sicurezza strumentati, SIS, Safety Instrumented Systems. In un impianto petrolchimico, in una centrale nucleare, in qualsiasi contesto dove i processi industriali possono diventare pericolosi, i SIS sono l'ultima linea di difesa. Sono progettati per fare una sola cosa: rilevare condizioni pericolose, pressioni fuori controllo, temperature anomale, perdite di gas, e spegnere il processo prima che si trasformi in un'esplosione, in un incendio, in una catastrofe.
I SIS non sono collegati ai normali sistemi informativi. Sono fisicamente separati, con architetture ridondanti, con certificazioni di sicurezza funzionale tra le più rigide al mondo. Sono progettati esattamente per resistere a qualsiasi scenario, incluso il guasto di tutti gli altri sistemi. Erano considerati inviolabili.
Triton: un'architettura militare, un obiettivo chirurgico
Il malware scoperto nell'impianto saudita nel 2017, denominato dai ricercatori Triton, o Trisis, o Hatman, era progettato specificamente per compromettere i dispositivi Triconex di Schneider Electric, uno dei sistemi SIS più diffusi al mondo nelle infrastrutture industriali critiche.
La sua architettura rivelava una conoscenza profondissima del target: gli attaccanti avevano studiato nel dettaglio il funzionamento dei Triconex, avevano analizzato i protocolli di comunicazione proprietari, avevano compreso come riprogrammare i controller di sicurezza in modo da disabilitarne le funzioni protettive. Non era il lavoro di un gruppo criminale. Era il lavoro di un'intelligence statale con accesso a reverse engineering avanzato e probabilmente a documentazione tecnica riservata.
L'obiettivo finale era brutale nella sua logica: con i sistemi di sicurezza disabilitati, l'attaccante avrebbe poi potuto intervenire sui processi dell'impianto, aumentare pressioni, alterare temperature, bloccare valvole di sfogo, e l'impianto non avrebbe potuto proteggersi. Il risultato sarebbe stata un'esplosione. Potenzialmente catastrofica. Con vittime umane.
Il bug che ha salvato vite: l'ironia della storia
Cosa impedì il disastro? Non un sistema di difesa particolarmente avanzato. Non un analista di sicurezza insolitamente perspicace. Un bug nel codice degli attaccanti stessi.
Il malware Triton conteneva un errore che causava la messa in sicurezza automatica del Triconex invece di disabilitarlo silenziosamente. Il sistema SIS andò in "safe state": si spense in modo controllato, come è progettato per fare in caso di anomalia. I tecnici notarono l'anomalia, condussero un'analisi, e trovarono Triton.
Se quel bug non ci fosse stato, probabilmente non avremmo mai saputo dell'esistenza di Triton. L'impianto sarebbe esploso. Le indagini avrebbero cercato cause fisiche, malfunzionamenti meccanici, errori umani. Il malware sarebbe rimasto sconosciuto, pronto per essere riutilizzato altrove.
L'attribuzione: un'ombra che porta a Mosca
Chi ha sviluppato Triton? Le indagini condotte da Mandiant (FireEye) e dal governo americano portarono a un'attribuzione controversa: il Central Scientific Research Institute of Chemistry and Mechanics, CNIIHM, un istituto di ricerca statale russo con sede a Mosca, sotto la supervisione del Ministero della Difesa russo.
La Russia, ovviamente, negò. Ma le prove tecniche erano solide: un errore nel codice aveva lasciato attive delle stringhe in russo, e soprattutto era stato trovato un indirizzo IP usato durante lo sviluppo del malware che riconduceva a una macchina registrata all'interno dell'istituto CNIIHM.
Perché Triton cambia tutto: il confine tra cyber e fisico
Triton è importante non solo per la sua pericolosità, ma per ciò che rappresenta concettualmente. Stuxnet aveva dimostrato che il digitale poteva danneggiare il fisico. Sandworm aveva dimostrato che il digitale poteva privare le città di energia. Triton ha dimostrato che il digitale può essere progettato per uccidere.
Quella linea, che per anni era rimasta teorica, quasi un tabù del cyberwarfare, era stata attraversata. E una volta attraversata, non può essere riattraversata.
I dispositivi Triconex di Schneider Electric colpiti da Triton sono installati in migliaia di impianti nel mondo. Raffinerie. Impianti chimici. Centrali elettriche. Impianti di trattamento acque. Qualsiasi struttura in cui un processo industriale fuori controllo potrebbe diventare letale.
Triton fu sventato per un bug. La prossima versione quel bug non lo avrà
Stuxnet. Sandworm. Triton. Tre casi già nella storia. Ma mentre li studiamo, qualcosa di più grande stava già accadendo in silenzio. Non un attacco singolo, un posizionamento strategico globale. Agenti dormienti non in un impianto, non in una nazione: in tutta l'infrastruttura occidentale. E qualcuno, in un incontro segreto a Ginevra, ha finalmente ammesso di cosa si tratta.
Per maggiori informazioni:
Sito web: www.seccomarco.com