Europa in allerta: ondata di attacchi informatici alle compagnie petrolifere. Diverse aziende europee specializzate nello stoccaggio, carico, scarico e distribuzione di carburante sono stati bersagliati da cyber-attacchi ai loro sistemi. Tra questi due delle più grandi società tedesche di stoccaggio e fornitura di carburante, nonché i più importanti terminal portuali che compongono il cosiddetto ARA Hydrocarbon Refining Node (Amsterdam, Rotterdam e Anversa) del Belgio e dei Paesi Bassi.
Questa serie di incidenti informatici, contro infrastrutture così critiche come la fornitura di prodotti derivati da idrocarburi, si palesa in un momento di crescente tensione internazionale a causa del conflitto Russia-Ucraina e in un clima di incertezza generale a seguito dell’avvertimento di alcune agenzie di sicurezza dei paesi europei, sulla possibilità di un aumento di attacchi informatici perpetrati da gruppi di cybercriminali di origine russa o sponsorizzati da questo governo.
La situazione in Europa è ancora più critica se si considera che siamo nel pieno della stagione invernale, e con il mercato energetico sotto stress per il continuo calo delle scorte di idrocarburi e loro derivati, sommato all’aumento del prezzo del petrolio, la cui curva al rialzo è già in essere da sette anni consecutivi. Tutto questo nel bel mezzo delle tensioni diplomatiche con la Russia, al momento il principale fornitore di gas dell’Europa, motivo per cui gli esperti internazionali prevedono che questi attacchi informatici avranno conseguenze sull’economia europea, che sta già attraversando un delicato processo di inflazione.
Oiltanking e Mabanaft in Germania
Negli ultimi giorni di gennaio 2022 è stato segnalato un grave cyberattacco ai sistemi informatici del principale fornitore di carburante in Germania, evento riportato tempestivamente dai media locali come Handelsblatt e Der Spiegel.
Sabato 29 Oiltanking Deutschland GmbH & Co. KG (Oiltanking) scopre di essere vittima di un cyberattacco, per il quale sarà costretta ad operare a “capacità limitata” generando ritardi e cancellazioni nella matrice di distribuzione del carburante sul territorio tedesco. Di fronte a questa situazione, ha prontamente dichiarato di essere in una “situazione di forza maggiore” al fine di sottrarsi dalla responsabilità di adempiere agli obblighi contrattuali con i propri clienti, tra cui numerose società come la stessa Shell, che hanno dovuto ricorrere a fornitori alternativi per ridurre le interruzioni.
Oiltanking
Secondo Handelsblatt, l’incidente ha causato l’interruzione di tutte le operazioni di carico e scarico della società ad Amburgo, oltre a colpire più di una dozzina di terminal distribuiti in Germania: Endorf, Berlino, Duisburg, Francoforte sul Meno, Gera, Amburgo, Blumensand, Amburgo-Waltershof, Hamm, Hanau, Karlsruhe e Rheinau-Honau.
Oiltanking opera dal 1972 ad Amburgo come fornitore indipendente di stoccaggio in cisterne per il mercato mondiale di prodotti petroliferi, prodotti chimici e biocarburanti.
Sebbene la società abbia riferito che il suddetto attacco informatico ha interessato solo i sistemi della business unit Oiltanking Deutschland GmbH e le sue filiali operative in Germania, vale la pena ricordare che il gruppo industriale nel suo insieme controlla e gestisce più di 40 terminal in 23 paesi. Fornisce inoltre servizi di processo nei settori della raffinazione, della commercializzazione e nei servizi di ingegneria specializzata. In America Latina ha terminal in Argentina (Puerto Rosales e Brandsen), Brasile (Rio de Janeiro), Perù (Callao, Miraflores, Chimbote, Trujillo, Pisco), Colombia (Cartagena), Panama (Colón) e Messico (Veracruz).
“Tutti i sistemi di carico e scarico di Oiltanking sono fermi”. (Fonte: Handelsblatt)
L’attacco informatico ha colpito anche il gruppo Mabanaft GmbH & Co. KG (Mabanaft), distributore di idrocarburi. Entrambe le società sono filiali del Gruppo Marquard & Bahls ad Amburgo. Questa società importa, vende all’ingrosso e fornisce, carburante per sistemi di riscaldamento, benzina, gasolio, carburante per aviazione e altri derivati. Mabanaft, secondo AP News, ha anche dichiarato di trovarsi in una situazione di forza maggiore per la maggior parte delle attività di fornitura di carburante sul territorio tedesco.
L’incidente ha costretto le aziende a disconnettere i sistemi di tecnologia operativa (OT), come accaduto nel maggio 2021 durante l’attacco informatico ai sistemi IT di Colonial Pipeline negli Stati Uniti. I sistemi OT sono, per esempio, sistemi automatizzati utilizzati per il carico e lo scarico del carburante dai serbatoi di stoccaggio. Questo compito può essere svolto solo manualmente e in misura estremamente limitata, dato il volume delle operazioni gestite da queste società, che incide direttamente sul carico di carburante nelle unità di distribuzione come autocisterne e chiatte.
“Considero questo incidente serio, ma non grave” – Arne Schonbohm, Presidente dell’Ufficio Federale per la Sicurezza delle Informazioni –
“L’attacco non mette in pericolo la fornitura di carburante, e altri derivati, nella Repubblica federale tedesca”, secondo Frank Shaper, direttore dell’Associazione dei serbatoi di stoccaggio del carburante. Ciò è dovuto al fatto che in Germania ci sono 26 società attive nel mercato dei serbatoi per la fornitura del carburante, società che possono essere utilizzate come fonti di approvvigionamento alternative. Tuttavia, Arne Schonbohm non minimizza la gravità dell’impatto dell’attacco informatico. Vale la pena tener conto che le due società colpite producono circa 1,6 milioni di litri di benzina e 2,1 milioni di olio combustibile all’anno e che l’incidente colpisce direttamente più di 230 stazioni di servizio situate nella regione settentrionale della Germania. Secondo Reuters, a questa soluzione ha fatto ricorso anche Aral, la principale rete di stazioni di servizio del Paese con circa 2.300 punti di distribuzione del carburante, a causa della cancellazione delle operazioni di Oiltanking.
Il nodo ARA del Belgio e dei Paesi Bassi
Dopo gli incidenti di Amburgo, altri terminal europei hanno iniziato a segnalare incidenti. È il caso del Belgio nei porti di Gand e Antwerp-Zeebrugge e dei Paesi Bassi nei terminal di Amsterdam e Termeuze, controllati dalle società SEA-Invest (e gestiti da SEA-Tank), Evos e… Oiltanking!
Fonte: Malta Today
Il gruppo imprenditoriale belga SEA-Invest di Gent potrebbe essere stato il più colpito dall’attacco informatico, che sarebbe iniziato venerdì 28 gennaio. Secondo il media belga De Tijd, la compagnia ha dovuto interrompere le operazioni in tutti i terminal internazionali. SEA-Invest, oltre alla sua attività nel settore degli idrocarburi, è una delle aziende leader a livello mondiale nel trasporto e stoccaggio di frutta fresca e prodotti alimentari.
Evos inizialmente ha riferito che solo uno dei due terminal che opera ad Amsterdam è stato colpito. Questo è il terminal di Amsterdam-East che è stato appena acquisito nel 2021 dalla tedesca Oiltanking. Ore dopo, Evos ha dovuto riconoscere che l’attacco informatico ha colpito il terminal Birzebugga di proprietà della compagnia a Malta, l’arcipelago situato tra la Sicilia e la costa nordafricana.
Fonte: Ports today
Questo terminale era stato a sua volta acquisito da Evos da Oiltanking sempre nel 2021, nell’ambito di un’operazione di acquisto e vendita di asset tra le due società.
I sei impianti portuali interessati del nodo ARA nel Nord Europa sono dedicati allo stoccaggio, carico e scarico di carburante. Le interruzioni operative generate dagli attacchi informatici hanno quindi reso impossibile le operazioni di carico e scarico dalle chiatte, provocando la logica congestione dei punti di accesso ai porti citati.
Chi c’è dietro questi attacchi informatici?
Come di consueto in questi casi, nessuna delle società ha comunicato ufficialmente i dettagli del cyberattacco, oltre il classico riferimento ai sistemi IT (Information Technology). Inoltre, non hanno dichiarato se, come nel caso della US Colonial Pipeline, fossero stati vittime di ransomware.
Tuttavia, l’incidente arriva solo pochi giorni dopo che l’Agenzia nazionale di intelligence tedesca (Bundesamt für Verfassungsschutz – BfV – Ufficio federale per la protezione della costituzione) ha avvertito di un crescente pericolo di attacchi degli hacker cinesi, in particolare il gruppo APT-27, sulle aziende tedesche.
Fonte: Gnews.org
Il Gruppo APT-27, noto anche come TG-3390, Emissary Panda, BRONZE UNION, Iron Tiger o LuckyMouse, opera attivamente dal 2010 e le sue prime azioni sono state rivolte alle ambasciate estere con l’obiettivo di sottrarre informazioni relative ai settori del governo, della difesa e della tecnologia. Ma dall’inizio del 2021, vari ricercatori di sicurezza informatica hanno convenuto che il gruppo di hacker cinesi aveva iniziato ad avventurarsi in attività legate al ransomware.
Secondo l’intelligence tedesca, APT-27 aveva iniziato a sfruttare le vulnerabilità presenti nei software, come base per avviare le sue campagne di cybercrime, tentando anche di infiltrarsi nelle reti informatiche delle società di tecnologia e farmaceutiche, nonché in quelle dei loro clienti e fornitori di servizi, per effettuare attacchi alla catena di approvvigionamento. Le loro indagini hanno rilevato la presenza di malware, il trojan RAT HyperBro, nel software Zoho AdSelf Service Plus, una soluzione di gestione delle password ampiamente utilizzata nelle aziende tedesche, in particolare per Active Directory e applicazioni cloud.
Sequenza d’attacco HyperBro – Fonte BfV
In assenza di ulteriori informazioni, inizialmente i sospetti dei media puntavano su questo Gruppo, ma in seguito si è saputo, tramite funzionari europei coinvolti nelle indagini in corso, che i sistemi IT delle aziende europee erano stati colpiti da una combinazione di ransomware Conti e BlackCat. Secondo il media Handelsblatt, un rapporto interno del BSI tedesco (Federal Information Security Office) avrebbe indicato il gruppo BlackCat come responsabile dei cyberattacchi alle aziende tedesche.
Scoperto di recente (novembre-dicembre 2021) dai ricercatori sulle minacce informatiche di Recorded Future e MalwareHunterTeam, il ransomware ALPHV o “BlackCat” viene offerto come servizio sui forum di cybercrime Exploit e XSS. Si ritiene che il suo autore sia legato al gruppo REvil.
L’omonimo Gruppo di criminali informatici è considerato il primo gruppo professionale di criminalità informatica che crea e utilizza una varietà di ransomware scritti nel linguaggio di programmazione Rust, considerato uno dei più sicuri e quindi implementato in molte delle soluzioni di sicurezza informatica che le organizzazioni incorporano. Il vettore di input preferito è sconosciuto al momento, ma è destinato ai sistemi Windows, Linux e VMWare ESXi. Finora si conoscevano solo vittime negli USA, in India e in Australia.
D’altra parte, Katrien Eggers, portavoce del CCSB (Belgian Center for Cybersecurity), l’autorità nazionale su questi temi, ha invece affermato che “… hanno avviato un’indagine giudiziaria ad Anversa… non abbiamo alcuna indicazione che gli attacchi informatici siano collegati “. Il National Cybersecurity Center dei Paesi Bassi avrebbe rilasciato una dichiarazione affermando di non ritenere che gli attacchi informatici diretti ai settori degli idrocarburi e della chimica nei Paesi Bassi, Belgio e Germania siano stati coordinati e che non sembrano essere stati perpetrati da criminali informatici sponsorizzato da uno stato nazionale.
Pur rispettando le dichiarazioni ufficiali delle autorità di cybersecurity dei Paesi coinvolti, è difficile credere che questi attacchi informatici non siano stati coordinati e in qualche modo facilitati dall’esistenza di alcuni punti in comune non solo nella complessa rete logistica degli idrocarburi che collega aziende diverse da Germania, Belgio e Paesi Bassi, ma anche dalla convergenza delle tecnologie IT/OT.
OT: la tecnologia trascurata
Il termine OT (Operational Technology – acronimo in inglese) corrisponde a una categoria che unisce hardware e software il cui compito principale è monitorare e controllare il modo in cui operano determinati sistemi fisici. Anni fa, OT veniva utilizzato principalmente nei sistemi di controllo industriale e, a differenza dell’IT (Information Technology), non era collegato a una rete di computer. Molti degli strumenti utilizzati erano di natura meccanica e anche quelli più avanzati che includevano controlli digitali utilizzavano protocolli chiusi e software proprietari. Ma con l’avanzare della IV Rivoluzione Industriale, la convergenza dei sistemi IT/OT è diventata una tendenza generale in tutti i settori industriali.
Fonte: ABS Group
Sebbene potremmo essere d’accordo sulla rilevanza di queste tecnologie, l’attenzione richiesta dalla grande varietà di rischi e minacce ai sistemi IT ha fatto sì che, in qualche modo involontariamente, la tecnologia OT sia svanita dall’orizzonte della sicurezza informatica. Molte organizzazioni hanno dimenticato che OT è esposto agli stessi rischi per la sicurezza dell’IT, in particolare malware, gestione delle identità e controllo degli accessi. Ma ciò che è ancora più grave è che le vulnerabilità presenti nei sistemi OT possono facilitare operazioni di sabotaggio a diverse Infrastrutture Critiche, i cui risultati potrebbero essere disastrosi per la vita nella società moderna o addirittura per la vita degli esseri umani.
“Colpire elementi della catena di approvvigionamento di idrocarburi e derivati durante l’inverno mette potenzialmente a rischio il benessere e la sicurezza dei cittadini. Questi tipi di attacchi informatici dimostrano i diversi rischi posti dai criminali informatici ai sistemi chiave che supportano le infrastrutture critiche e altri servizi essenziali” – Tim Wade, Direttore Tecnico di Vectra –
Sia il caso del cyberattacco alla Colonial Pipeline negli Stati Uniti, che questi ultimi incidenti in Europa, evidenziano ancora una volta le vulnerabilità dei sistemi OT, una situazione profondamente aggravata dalla convergenza con i sistemi IT. In tutti gli incidenti menzionati, a fronte di quello che sembrava essere un attacco informatico ai sistemi IT delle diverse aziende colpite, le vittime sono state costrette a interrompere l’operatività dei sistemi OT per evitare ulteriori danni alle varie infrastrutture critiche associate, con le conseguenze che già possiamo immaginare.
Anche analizzando questi attacchi informatici e giudicando dalla risposta dei governi, come accaduto negli USA, non possiamo fare a meno di considerare che i cybercriminali potrebbero essere arrivati ai sistemi OT, sebbene le dichiarazioni ufficiali alludessero solo ai sistemi IT. E se crediamo quasi “ingenuamente” che non l’abbiano ancora fatto, allora ci si chiede quanto tempo ci vorrà per farlo.
***Susana B. García, Consultora en Riesgos Tecnológicos, Directora de Ciberprisma. Articolo originariamente pubblicato in spagnolo il 5/02/2022 sul webmagazine argentino Ciberprisma. Articolo tradotto in italiano dal team di OFCS.Report con l’espressa autorizzazione dell’autore e dell’editore di Ciberprisma.
