Nonostante da ormai un paio di anni il tema della minaccia della flotta ombra russa sia al centro del dibattito, il lavoro oscuro delle navi che trasportano petrolio soggetto a sanzioni dalla Russia all'Iran prosegue a vele spiegate. Un flusso di consegne continuo aggirando i blocchi imposti sia dagli Stati Uniti che dell'Unione europea. Il tutto attraverso dei sistemi elettronici obsoleti, spesso fai da te, e soprattutto pericolosi. Molto pericolosi.
La flotta ombra russa e iraniana Secondo quanto emerso dall'ultima operazione della guardia costiera americana le petroliere della flotta ombra di Putin e di Teheran potrebbero esplodere da un momento all'altro. Le navi, e i loro proprietari che spesso operano sotto falsa bandiera o prestanome, utilizzano un miscuglio di strumenti digitali per controllare gli equipaggi e nascondere le proprie tracce. Queste pratiche, scoperte dai team informatici della Guardia Costiera statunitense, hanno esposto le petroliere ad attacchi da parte di malintenzionati che potrebbero sfruttare tali vulnerabilità per causare esplosioni o sversamenti di petrolio. Le scoperte della Guardia Costiera, finora inedite riportate in un report dettagliato e da un articolo del Wall Street Journal, delineano un quadro di gestione che lesina sulle misure di sicurezza fisica, affidandosi al contempo a sistemi informatici vulnerabili a possibili attacchi o violazioni, rendendo alcune petroliere molto più pericolose per l'ambiente, per gli altri marittimi e per gli equipaggi di quanto si pensasse in precedenza. Come nascondono il segnale Uno di questi sistemi è lo "spoofing" dell'Automatic Identification System (Ais). Una tattica ben nota utilizzata dalle navi della flotta ombra per nascondere le proprie attività illecite. Si tratta della falsificazione dei dati del sistema di identificazione automatica ed è il metodo principale impiegato da queste imbarcazioni che consiste nell'inviare dati AIS falsificati, generati tramite un software di test per strumenti marini, da un computer portatile attraverso un cavo (CAT6) realizzato su misura e saldato alla porta dati del sistema Ais. Il software in questione ha anche impieghi legittimi, poiché consente di testare gli strumenti di bordo generando stringhe utilizzate per simulare Gps, Ais, radar e altri apparati nautici. I team di controllo informatico della guardia costiera statunitense hanno inoltre individuato più transponder Ais installati sulla stessa nave sottoposta a controllo, consentendo all'imbarcazione di cambiare facilmente il nome che stava trasmettendo. Infine, sono state scoperte diverse guide dettagliate che descrivevano ulteriori metodi per fornire informazioni Gps false ai sistemi Ais.I programmi pirata Sulla maggior parte dei sistemi erano installate tre soluzioni software per l'accesso remoto: AnyDesk, TeamViewer e ScreenConnect. I Cyber Protection Teams (CPT) hanno rilevato che tali installazioni erano permanenti e non riconducibili a esecuzioni temporanee. Inoltre, era configurata la funzionalità di accesso non presidiato, consentendo l'instaurazione di connessioni remote anche in assenza di operatori presso le workstation. Una volta abbordati dalle forze Usa, gli amministratori della nave hanno tentato di eliminare da remoto i dati presenti sui sistemi di bordo, compromettendo la sicurezza della navigazione delle navi. L'analisi condotta ha evidenziato come gli equipaggi della flotta utilizzassero il client Windows di uTorrent per scaricare software da un forum torrent russo specializzato nel settore marittimo. La piattaforma ospitava discussioni tra professionisti del comparto, documentazione tecnica, applicazioni nautiche, video didattici, prove in mare, simulatori e materiali per l'addestramento.I Cyber Control Teams hanno inoltre individuato programmi impiegati per attivare illegalmente i prodotti Microsoft Windows e Office. In particolare, gli eseguibili AAct.exe e KMSAuto.zip, associati al pacchetto Ratiborus KMS Tools, emulavano un server Key Management Service (KMS), inducendo il software Microsoft a considerare valida l'attivazione. Per garantirne il funzionamento continuativo, erano stati configurati processi pianificati incaricati di eseguire periodicamente tali programmi. Le indagini hanno infine permesso di identificare copie pirata dei sistemi Electronic Chart Display and Information System (ECDIS) e dei software di gestione delle rotte utilizzati per la navigazione.I rischi informatici Considerato l'ampio ricorso a software pirata, non sorprende che i computer della petroliera fossero compromessi da malware. Uno degli episodi rilevati riguarda un attacco di tipo drive-by compromise, che ha portato all'infezione con il malware Lumma Stealer. Si tratta di un malware specializzato nel furto di informazioni, sviluppato dall'attore malevolo noto come "Lumma" e comunemente offerto secondo il modello malware-as-a-service sui forum di lingua russa. I sistemi critici di tecnologia operativa (OT) e quelli di navigazione erano basati su collegamenti seriali e risultavano isolati dalla rete (air-gapped). Tuttavia, tale isolamento veniva occasionalmente aggirato attraverso l'utilizzo di dispositivi USB per gli aggiornamenti o mediante computer portatili collegati direttamente ai sistemi di navigazione di bordo, come l'Electronic Chart Display and Information System (ECDIS), nonché ai sistemi di controllo della sala macchine. Queste pratiche introducevano punti di contatto tra sistemi altrimenti separati, aumentando il rischio di compromissione delle infrastrutture critiche di bordo. Operando nell'ombra, le navi della flotta ombra russa e iraniana eludono gli obblighi di conformità e si sottraggono all'adozione degli standard internazionali e delle migliori pratiche in materia di sicurezza fisica e digitale. La scarsa igiene informatica e l'impiego di procedure ad alto rischio compromettono le operazioni e la sicurezza della navigazione di queste imbarcazioni. L'utilizzo di software di navigazione non ufficiale rappresenta di per sé un fattore di rischio, ma tale pericolo aumenta ulteriormente quando computer già compromessi da malware vengono collegati a sistemi critici di navigazione e di tecnologia operativa. Da anni è noto che queste navi operano in condizioni caratterizzate da elevati rischi per la sicurezza fisica. Le missioni condotte dai Cyber Control Teams hanno ora confermato che tali imbarcazioni sono esposte anche a significativi rischi di natura informatica. «Per una nave che trasporta decine di milioni di galloni di petrolio greggio, che è altamente volatile, c'è sempre il rischio di un'esplosione dovuta a un incendio», ha affermato al Wall Street Journal il contrammiraglio Jason Tama, capo del Comando Cibernetico della Guardia Costiera. «L'atmosfera nei serbatoi deve essere gestita con estrema attenzione per garantire che non si verifichi una situazione di esplosione causata da un incendio. E poi c'è sempre il rischio di una fuoriuscita di petrolio».
