BlackEnergy, il malware che ha spento tre centrali ucraine

Tra la notte del 23 e 24 dicembre, il malware BlackEnergy ha lasciato senza elettricità centinaia di persone in Ucraina. L’attacco informatico ha causato il blackout di tre impianti elettrici e lasciato al buio centinaia di migliaia di persone. Andiamo a scoprire come il malware è riuscito ad entrare all’interno delle centrali e a disattivare completamente la fornitura di elettricità.

In un mondo in cui le infrastrutture sono connesse attraverso un sistema di rete, può accadere che hacker e criminali digitali sfruttino determinate falle per causare guasti di varia natura. L’ultimo esempio di come un virus informatico possa causare notevoli guasti è stato in Ucraina. Tra la notte del 23 e 24 dicembre, un malware ha causato lo spegnimento di tre impianti elettrici in varie regioni, causando un vero e proprio blackout che ha lasciato migliaia di persone al buio.

La prima azienda che si è accorta della problematica è stata Prykarpattyaoblenergo. Quest’ultima offre l’elettricità ad oltre 538 mila clienti e anche altri due operatori nazionali sono stati colpiti dallo stesso malware. La minaccia informatica è stata analizzata da varie agenzie di sicurezza, tra cui iSight Partners che ha confermato di essere riuscita ad avere una copia del virus e identificare la presenza su altre centrali.

Non solo un’altra azienda informatica, Eset, che produce antivirus per computer ha denominato il malware ucraino come BlackEnergy. Questo malware è stato scoperto per la prima volta nel 2007 e aggiornato qualche anno fa, con l’obiettivo di ampliare le funzioni. Non a caso, si tratta di un file a 32-bit eseguibile per Windows, con natura modulare.

BlackEnergy: come è entrato nelle centrali ucraine?

Secondo l’analisi di Eset, il malware BlackEnergy è entrato all’interno delle centrali attraverso un file di Microsoft Office. Di fatto, i cyber criminali sembrano aver inserito porzioni del malware all’interno delle funzioni macro di un documento Excel.

Come è possibile comprendere, è necessario notare l’assenza di veri e propri meccanismi di difesa all’interno di apparati che forniscono energia a migliaia di persone. Le potenziali conseguenze di un attacco ancor più mirato ed esteso, potrebbero tramutarsi in una vera e propria catastrofe per milioni di persone.

Infine, il malware BlackEnergy era già stato collegato ad alcune azioni di sabotaggio del gruppo Sandworm. Questo team, basato in Russia, era stato collegato a una serie di attacchi informatici a danno di agenzie governative, infrastrutture della Nato e altri importanti centri europei e statunitensi.