Colonial Pipeline: un oleodotto, un attacco ransomware e la fragilità del digitale

Venerdì 7 maggio un’importante infrastruttura statunitense di distribuzione di idrocarburi ha letteralmente chiuso i rubinetti, assottigliando le scorte di benzina ad almeno un terzo del Paese e, indirettamente, aprendo le porte a un’ondata di panico generale che ha rasentato scene alla Mad Max.

Una decisione tanto controversa non è stata presa per capriccio, a causa di ingerenze politiche o in relazione ad un mero interesse economico, ma rappresenta l’estrema conseguenza di un attacco ransomware, un attacco che ha rischiato di mettere in ginocchio l’intera nazione e che fa leva su debolezze catastrofiche della sicurezza informati negli Stati Uniti.

Cos’è successo

La cronaca di quanto è accaduto si affida molto a ricostruzioni, piuttosto che a dati ufficiali e certi. L’azienda coinvolta, la Colonial Pipeline Co., non ha certo tenuto a reclamizzare i propri fallimenti, quindi i dettagli sono perlopiù emersi per vie traverse, ovvero grazie a “spifferoni” interni che hanno rivelato molti dei retroscena del caso. Come vedremo, non sempre questi si sono dimostrati affidabili, tuttavia più passano i giorni, meglio definite sono le dinamiche degli avvenimenti.

Quel che è certo è che a dare inizio al tutto sia stato un gruppo di cybercriminali russi noto come DarkSide, che si sono infiltrati nei sistemi amministrativi dell’oleodotto “carpendo” circa 100GB di dati, di tipo presumibilmente amministrativo.

In senso prettamente tecnico, nulla di critico ai livelli dell’infrastruttura, tuttavia l’azienda ha comunque deciso di bloccare immediatamente l’erogazione dei suoi servizi.

I cinici affermano che l’amministrazione abbia preferito chiudere tutto piuttosto che far saltare i libri contabili “regalando” involontariamente benzina, diesel e carburante per aeroplani, tuttavia una visione più moderata suggerisce che la realtà sia effettivamente più complessa e che una simile sospensione dell’attività sia più che altro legata al timore che l’attacco si potesse estendere al network operativo, ovvero che i cybercriminali riuscissero a penetrare nelle sezioni critiche della struttura.

A prescindere da questo, resta il fatto che a inizio weekend la Colonial Pipeline ha annunciato al mondo di avere problemi interni e che avrebbe bloccato immantinente la sua rete di fornitura. Non una cosa da poco, se si considera che l’azienda gestisce buona parte dei carburanti del Golfo del Messico e della Costa Est.

La rete dell’oleodotto si estende per quasi 3.500 chilometri e, stando alle stime, distribuisce circa il 45 per cento dei carburanti utili a tenere attiva la parte orientale degli Stati Uniti.

Il Presidente Joe Biden si è attivato repentinamente e entro domenica ha firmato una legge d’emergenza per cercare disperatamente di compensare il fermo attraverso il trasferimento di benzina via autocisterne. Una soluzione certamente opportuna, ma anche poco efficiente e terribilmente lenta, con il risultato che ben diciassette Stati hanno lanciato gli allarmi.

Gli statunitensi sono letteralmente impazziti. Al fianco degli ovvi e prevedibili incolonnamenti davanti alle pompe di benzina, si sono verificate anche situazioni che non sarebbero immaginabili neppure dall’autore di romanzi più creativo e pungente. I federali si sono trovati sorprendentemente a dover spiegare ai cittadini che i sacchetti della spesa non siano un adeguato sostitutivo delle taniche e, in un caso, a una persona è persino venuto in mente di perforare una cisterna per depredarne il contenuto, con il risultato che 200 litri di benzina si sono riversati sulle strade del vicinato.

Do not fill plastic bags with gasoline.

— US Consumer Product Safety Commission (@USCPSC) May 12, 2021

La soluzione

La Colonial Pipeline Co. è rimasta chiusa per giorni. Nel frattempo, dall’interno, giustificavano il prolungamento delle tempistiche asserendo che l’azienda, non volendo pagare il riscatto richiesto dagli hacker, si stesse occupando di sistemare i suoi server artigianalmente, scomodando informatici da battaglia che potessero restaurare e mettere in sicurezza il sistema informatizzato dell’azienda.

Stando a quanto rivelato da Bloomberg, la suddetta narrazione non corrisponde alla realtà, tutt’altro.

La compagnia vittima dell’attacco ha infatti ceduto alle pressioni dei cybercriminali “nel giro di poche ore”, versando sul loro conto circa 4,4 milioni di dollari in criptovalute non tracciabili.

Can confirm that Colonial Pipeline paid its extortionists 75 Bitcoin on Monday- nearly $5 million- to recover stolen data.

— Nicole Perlroth (@nicoleperlroth) May 13, 2021

Perché tutta questa attesa, dunque? Pare che la chiave decriptante fornita da DarkSide fosse mediocre, a essere generosi. I tecnici l’hanno sfruttata come possibile, tuttavia era talmente lenta da averli obbligati comunque ad attingere ai back-up aziendali. In ogni caso, giovedì 13 maggio la Colonial Pipeline Co. ha annunciato di aver risolto buona parte dei suoi contrattempi e di aver ripreso l’erogazione dei servizi.

Non tutto è bene quel che finisce bene, però. La situazione emergenziale in cui è improvvisamente piombato il Paese ha evidenziato delle criticità tutt’altro che secondarie e le conseguenze si stanno riverberando in tutto il mondo.

I postumi di un week-end selvaggio

Giovedì stesso, Biden ha trasmesso in diretta dalla Casa Bianca un’analisi degli avvenimenti che hanno tenuto in scacco il potente oleodotto. Su una cosa, hacker e Amministrazione USA si sono dimostrati d’accordo: l’attacco non ha avuto matrice politica e i personaggi coinvolti erano esclusivamente interessati a farsi qualche soldo sulle spalle di una corporazione opulenta.

DarkSide #ransomware Leaks Press Center: pic.twitter.com/NNmv0UphQw

— ?????? ?????????? (@ddd1ms) May 10, 2021

Anzi, comprendendo velocemente di aver fatto il passo più lungo della gamba, il team di DarkSide ha finito con il chiedere un riscatto molto contenuto, se confrontato ai 25/35 milioni di dollari che avrebbero potuto ottenere da una missione di tale portata. Non solo, appena hanno incassato i fondi si sono affrettati a chiudere il loro portale e a immergersi in un anonimato che sa di ritirata, intimoriti dalle “pressioni” sotto le quali l’organizzazione stava venendo schiacciata.

Oltre al cercare di placare gli animi di coloro che erano già pronti a dare addosso alla Russia e al suo presidente, Vladimir Putin, Biden ha anche imposto reazioni più pragmatiche, firmando nella notte di mercoledì 12 maggio un ordine esecutivo d’emergenza pensato per migliorare drasticamente le difese di tutti gli enti, pubblici o privati, che operano con il Governo a stelle e strisce.

Il Dipartimento di Sicurezza Domestica (DHS) dovrà ora creare una Cyber Safety Review Board che si occuperà di investigare gli “incidenti” digitali, la quale sarà finalmente in grado di porre fine a una diatriba di potere che vedeva la cybersicurezza USA in mano tanto al DHS quanto alla National Security Agency (NSA), con il risultato che nessuno sapeva con precisione a chi toccasse dipanare determinate situazioni.

Oltre alla creazione di una Commissione dedicata, l’ordine esecutivo ha reso obbligatori tutta una serie di atteggiamenti che, a ben vedere, fanno parte di una sana e consapevole igiene digitale: le aziende saranno costrette a condividere repentinamente le informazioni sui cyberattacchi che le coinvolgono, inoltre chi opera con le agenzie federali dovrà assicurarsi di imporre sistemi di autenticazione multi-fattore, nonché a criptare i propri archivi ogni sei mesi.

La debolezza di una nazione

La manovra dell’Amministrazione USA cerca di porre rimedio a una situazione ben nota che, tuttavia, grazie al danno inferto alla Colonial Pipeline Co. e a un terzo della nazione risulta ormai smaccatamene ovvia: molte delle infrastrutture chiave degli Stati Uniti sono tremendamente vulnerabili, fiaccate da scarsi finanziamenti, sistemi informatici obsoleti e la pressante assenza di addetti alla cybersicurezza.

Da anni il Governo riversa gran parte delle risorse dedicate in una strategia di “difesa in anticipo” che consiste nell’insediarsi preventivamente nei server delle potenze estere, così da poter bloccare sul nascere qualsiasi tentativo di strategia che possa danneggiare gli interessi del Paese che si è messo alla guida del mondo occidentale.

Una strategia deontologicamente tutt’altro che immacolata, ma che ha portato a lungo ottimi risultati. Almeno finché le potenze estere non si sono messe al passo con il mondo digitale, rendendosi conto che gli USA avevano puntato tutto sull’offensiva lasciando drammaticamente scoperta la difesa. Una situazione di fragilità che viene ulteriormente enfatizzata da una percezione falsata dell’importanza degli addetti alla cybersicurezza all’interno di un’azienda.

Detto in soldoni: tutti sanno che sia importante salvaguardare la propria sicurezza informatica, eppure, al momento di guardare al bilancio, la prevenzione viene sovente vista come una spesa accessoria, potenzialmente inutile, non meritevole di essere accompagnata da una retribuzione adeguata alle competenze.

Ne nasce dunque una grave penuria di esperti i quali, quando veramente competenti, preferiscono entrare direttamente nei ranghi della NSA, arroccarsi in centri di ricerca o, cosa più remunerativa, accettare incarichi mercenari per aziende private specializzate nello spionaggio. Una situazione concreta di queste dinamiche ce la offre proprio il caso della Colonial Pipeline Co., la quale sta cercando di arruolare un esperto di cybersicurezza da più di un mese, senza che nessuno si dimostri però disposto ad accettare l’incarico.

Un problema sistemico

Il fatto che il potente oleodotto abbia deciso di pagare il riscatto senza battere ciglio è estremamente logico in chiave imprenditoriale – il rapporto tra costi e benefici suggeriva fosse la scelta migliore -, tuttavia fomenta anche un mercato della criminalità che sta divenendo tanto competente da documentarsi sullo stato delle finanze delle possibili vittime ancor prima di eseguire gli attacchi.

Il Governo USA disprezza la cedevolezza di coloro che finiscono malauguratamente a sostenere queste dinamiche viziose, ma la stessa Amministrazione, non volendo danneggiare le imprese locali, si guarda dal prendere una posizione netta ed esplicita in tal merito, preferendo far finta di non vedere.

Bisogna altresì riconoscere che imporre via legge una gestione più opportuna dell’igiene digitale sia un importantissimo passo avanti, uno che forse avrebbe aiutato non poco a prevenire il caso in questione, ma anche il caso SolarWinds o l’attacco sferrato ai tragicomici sistemi informatici di un depuratore della Florida.

Norme che forse rendono la vita quotidiana più scomoda e lenta, ma che sono essenziali a tenere testa al crescente numero di attacchi ransomware, i quali rappresentano un’insidia che si estende ben oltre i confini USA, come dimostra il recentissimo assalto al Sistema Sanitario irlandese.

Nel 2020 la Cyberspace Solarium Commission, un corpo statunitense intergovernativo bipartisan che è stato fondato con lo scopo esplicito di sviluppare strategie di difesa contro le insidie digitali, ha evidenziato come un’educazione dei costumi digitali non sia che uno step iniziale e che, per divenire realmente efficace, la misura dovrebbe venir condivisa con un’ampia gamma di nazioni.

La cosa è però facile solamente a parole: maggiori investimenti sulla sicurezza comportano automaticamente costi maggiori, cosa che a sua volta si traduce in servizi che risultano meno concorrenziali e che sono facilmente vittima del “dumping”, ovvero della tendenza di subappaltarli alle più economiche ditte estere.

Risulta quindi urgente iniziare a intavolare discorsi internazionali atti a intavolare degli standard minimi e obbligatori che siano condivisi e condivisibili, impegnandosi peraltro a sostenere una dinamica imprenditoriale che non si incastri in eterni giochi al ribasso. Un’impresa certamente difficile, ma anche la più immediata via di fuga dalla normalizzazione degli attacchi hacker a strutture vitali alla sopravvivenza delle persone e dei governi.

 

The Gateway è il magazine settimanale di Lega Nerd che vi parla del mondo della tecnologia e dell’innovazione.