• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Speciale Sicurezza
  • Industry 4.0
  • Sanità Digitale
  • ReStart in Green
  • Redazione
  • Contattaci
    Facebook Twitter Vimeo LinkedIn RSS
    Trending
    • PLINK allarga alla cyber security
    • Come proteggere i dati da attacchi hacker
    • Dell Technologies amplia la sua offerta di Security
    • Crescono le minacce informatiche più pericolose
    • Exploit Zero-Day: diminuiscono ma sono più sofisticati
    • Serve più efficacia del segnale
    • Irrobustire la sicurezza IT in azienda
    • Decriptazione del ransomware: ci pensa Kaspersky
    Facebook Twitter Vimeo LinkedIn RSS
    BitMAT | Speciale Sicurezza 360×365
    • Attualità
    • Opinioni
    • Ricerche
    • Soluzioni
    BitMAT | Speciale Sicurezza 360×365
    Sei qui:Home»Speciale Sicurezza»Opinioni»L’AI protegge le reti energetiche
    Opinioni

    L’AI protegge le reti energetiche

    Di Redazione BitMAT1 Novembre 2020Lettura 4 Min
    Facebook Twitter LinkedIn Tumblr Reddit Telegram WhatsApp Email

    Max Heinemeyer, Director of Threat Hunting di Darktrace, commenta la decisione di una società europea, che ha visto sotto attacco le sue reti energetiche

    Capita molto spesso, anche alle reti energetiche, che gli hacker si muovano all’interno delle organizzazioni anche per lunghi periodi di tempo, senza che queste se ne accorgano.

    Recentemente, proprio una società energetica europea ha iniziato a usare l’AI per la propria difesa informatica, e ha realizzato che il cybercriminale stava già operando indisturbato al suo interno.

    L’hacker aveva compromesso un pc desktop tramite una connessione Command & Control e scaricato file eseguibili mascherati da innocui file PNG.

    Cyber AI Darktrace vincente in appena due ore

    Darktrace è stata in grado di analizzare autonomamente il pc catalogandolo nel gruppo dei dispositivi simili (“peer group”) e riconoscendo che il suo comportamento era anomalo rispetto al resto del gruppo. Una volta installata, infatti, la cyber AI ha subito iniziato a monitorare il comportamento di circa 5.000 dispositivi, stabilendo il loro “modello di vita”, così come quello dei peer group e del resto dell’organizzazione.

    Dopo appena due ore, ha rilevato che il desktop pc di un amministratore effettuava connessioni sospette a più domini ospitati su IP 78.142.XX.XXX. La regolarità di queste connessioni suggeriva che l’infezione era già stata stabilita da tempo sul dispositivo.

    Durante l’intrusione, l’hacker aveva utilizzato molte tecniche di evasione comuni per aggirare gli strumenti di difesa tradizionali, tra cui le “Living off the Land” (strategie di attacco che fanno uso di tool già presenti nativamente nel sistema operativo del computer, dunque senza l’aggiunta di alcun codice malevolo creato ad hoc) e malware nascosti all’interno di tipologie di file comunemente usati.

    Il giorno successivo all’installazione, il sistema ha rilevato inoltre che il pc stava scaricando un file eseguibile sospetto chiamato d.png, e successivamente si sono verificati diversi download simili. I file eseguibili si mascherano spesso sotto forma di altri tipi di file di uso comune per bypassare le misure di sicurezza, tuttavia l’estensione del file non corrispondente è stata immediatamente rilevata da Darktrace e segnalata affinché venissero svolte ulteriori indagini.

    Una successiva analisi di questi file apparentemente innocui ha suggerito che fosse in corso un accesso da remoto al dispositivo compromesso attraverso l’uso del framework Metasploit.

    Analisi dell’attacco alle reti energetiche

    Il mancato utilizzo delle tecniche di OSINT per la fonte del download ha fatto sì che le altre misure di sicurezza non rilevassero le connessioni HTTP sospette. Tuttavia, la rarità dell’IP presente sulla rete, insieme al comportamento insolito del pc rispetto agli altri dispositivi, hanno fatto sì che Darktrace intercettasse rapidamente il beaconing dannoso.

    Analizzare in profondità il dispositivo infetto

    Dopo avere individuato la prima violazione, Darktrace ha continuato a monitorare il dispositivo, rappresentando graficamente le connessioni regolari che avvenivano con l’endpoint maligno w.gemlab[.]top. Il pc, infatti, continuava ad effettuare connessioni continue a questo endpoint a intervalli precisi di 3 ore, suggerendo che fosse in corso una attività automatizzata. Nessun altro dispositivo del gruppo mostrava questo tipo di comportamento.

    Darktrace ha rilevato la natura sospetta di queste connessioni HTTP nelle reti energetiche, facendo emergere chiaramente la violazione del modello affinché il team di sicurezza potesse esaminarla e risanare la situazione.

    Se l’hacker è già penetrato nei sistemi

    Quello che si è verificato durante questo particolare attacco è un tentativo sofisticato di mimetizzarsi all’interno del “rumore di fondo” del traffico dati regolare di una organizzazione. Senza promuovere analisi e lanciare allarmi in tempo reale, oltre a poter avviare una risposta rapida da parte del team di sicurezza per contenere la minaccia, le potenziali ramificazioni e le conseguenze nocive di questa intrusione non si possono arginare e per questo, molto spesso, i cybercriminali sono riusciti a attaccare intere reti energetiche causando, ad esempio, il blackout di massa in Ucraina e in Estonia.

    Non è la prima volta che Darktrace identifica hacker già presenti negli ambienti dei clienti, e sicuramente non sarà l’ultima. Tale situazione, sempre più diffusa, rende l’approccio di autoapprendimento alla difesa informatica fondamentale, poiché questo non si limita infatti a identificare solo i cambiamenti nell’ambiente, ma è in grado di individuare, insieme agli attacchi nuovi e avanzati che eludono le regole e le firme tradizionali, anche le manomissioni già esistenti.

    a cura di Max Heinemeyer, Director of Threat Hunting di Darktrace

    infrastrutture critiche intelligenza artificiale Reti elettriche
    Condividi: Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione BitMAT
    • Website
    • Facebook
    • Twitter

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    PLINK allarga alla cyber security

    24 Marzo 2023

    Come proteggere i dati da attacchi hacker

    24 Marzo 2023

    Dell Technologies amplia la sua offerta di Security

    23 Marzo 2023
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    BitMATv – I video di BitMAT
    Vectra AI: tecnologia NDR sempre più protagonista
    read more ❯
    Hikvision Trasmission&Display e iStorage: a che punto siamo?
    read more ❯
    Hikvision: termografia in espansione
    read more ❯
    Nuove frontiere della robotica con Raise
    read more ❯
    Poliambulatorio Privato C.T.R. sceglie la tecnologia di ELO Digital Office
    read more ❯
    Tag Cloud
    Acronis Akamai Axitea Barracuda Networks Bitdefender Check Point Check Point Research Check Point Software Technologies cloud Clusit Cohesity CyberArk cyber security Cybersecurity Darktrace DDoS ESET F-Secure F5 Networks FireEye Fortinet Hacker infrastrutture critiche Iot Ivanti Kaspersky malware Mandiant palo alto networks Panda Security phishing Proofpoint ransomware Security SentinelOne sicurezza Sicurezza It Stormshield trend Trend Micro Vectra AI WatchGuard WatchGuard Technologies Zero Trust Zscaler
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook Twitter Vimeo LinkedIn RSS
    Navigazione
    • Attualità
    • Opinioni
    • Ricerche
    • Soluzioni
    Ultime

    PLINK allarga alla cyber security

    24 Marzo 2023

    Come proteggere i dati da attacchi hacker

    24 Marzo 2023

    Dell Technologies amplia la sua offerta di Security

    23 Marzo 2023
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2023 - BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 295 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Scrivi nel campo e premi Invio per cercare. Premi Esc per annullare