#3 Cold Case: Colonial Pipeline offensive

Pipeline: quando un account fantasma ha bloccato l'erogazione di carburante in 9.500 stazioni di servizio 

È notte fonda in un ufficio di periferia. Un tecnico apre il portatile, digita una password trovata in un vecchio database sul dark web. Nessun secondo fattore, nessun avviso. Solo un click, e i cancelli digitali di una delle infrastrutture critiche più importanti degli Stati Uniti si spalancano. 

È l'inizio del caso Colonial Pipeline, uno dei cold case di cybersicurezza più istruttivi per chi gestisce reti industriali e servizi essenziali. 

L'infrastruttura che si è fermata 

Colonial Pipeline gestisce oltre ottomila chilometri di condotte che trasportano benzina, diesel e jet fuel dal Texas alla costa orientale. Circa il quarantacinque per cento del carburante consumato sulla East Coast viaggia dentro quei tubi. 

Il 7 maggio 2021 la società subisce un attacco ransomware. I sistemi informatici vengono colpiti e l'azienda decide di chiudere precauzionalmente l'intera pipeline per alcuni giorni. Il risultato è noto: code infinite ai distributori, aeroporti in difficoltà, stato di emergenza federale. Il gruppo responsabile si chiama DarkSide, e l'FBI lo conferma poche ore dopo. 

Come si entra in un oleodotto senza toccare un bullone 

Dietro l'epilogo spettacolare c'è una sequenza quasi banale. 

L'account dimenticato. L'accesso iniziale avviene tramite un singolo account VPN non più in uso ma ancora attivo, protetto solo da una password. Nessuna autenticazione multifattore. La password, complessa ma riutilizzata, era finita online in seguito a una violazione su un altro servizio. Una credenziale esposta, nessun controllo a monte, un punto di ingresso comodo per chiunque sappia dove cercare. 

Il movimento silenzioso. Una volta dentro, i criminali mappano l'infrastruttura e raccolgono informazioni. Quasi cento gigabyte di dati aziendali vengono esfiltrati prima della cifratura. 

Il colpo finale. Il 7 maggio viene lanciato il ransomware sui sistemi informatici. Le workstation dell'area amministrativa e i server IT vengono cifrati. Non sono direttamente coinvolti i sistemi di controllo industriale, ma l'azienda decide comunque di fermare l'intera pipeline per evitare un possibile salto dall'IT all'OT e per gestire il caos. 

La società paga circa 75 bitcoin, all'epoca 4,4 milioni di dollari, per ottenere la chiave di decrittazione come riportato anche dal The Guardian. 

Poche settimane dopo il Dipartimento di Giustizia recupera 63,7 bitcoin, poco più di 2,3 milioni di dollari. Ma il danno è già fatto. Le immagini delle pompe di benzina a secco fanno il giro del mondo, trasformando un singolo account dimenticato in una crisi di sicurezza nazionale. 

Cosa avrebbe cambiato un approccio offensive 

Il Colonial Pipeline è un manuale vivente di tutto ciò che i servizi Offensive di CyberGrant sono progettati per mettere alla prova prima che lo facciano i criminali. Tre i punti deboli principali: accesso remoto senza controlli moderni, assenza di simulazioni realistiche di ransomware su infrastruttura critica, scarso presidio del confine tra mondo IT e sistemi OT industriali. 

Recon offensive: caccia ai fantasmi 

I servizi Offensive di CyberGrant cominciano da una fase di recon etica, lo stesso tipo di ricognizione che farebbe un gruppo come DarkSide, ma con un contratto sul tavolo. Su Colonial Pipeline un team offensive avrebbe cercato credenziali esposte su dark web e marketplace, testato i gateway VPN per verificare se tutti gli account critici erano protetti da autenticazione multifattore, e simulato l'uso di un account dismesso per entrare in rete e dimostrare l'impatto potenziale. 

Il risultato sarebbe stato un report concreto: questo account VPN è ancora valido, questa password è già stata vista in una violazione precedente, da qui possiamo arrivare a questi server. Con numeri e percorsi reali sul tavolo, diventa difficile rimandare la bonifica degli account fantasma. 

Simulare il peggio prima che accada 

Un altro tassello fondamentale è la simulazione di attacchi ransomware su misura per l'azienda, affiancata da esercitazioni tabletop con il management. Nel mondo Colonial Pipeline, CyberGrant avrebbe progettato una campagna di red team che simula la distribuzione di un ransomware nell'ambiente IT aziendale, misurato tempo di rilevazione e capacità di isolamento, e condotto esercitazioni di crisi con IT, OT, legale e direzione per rispondere a domande scomode: quando fermiamo la pipeline? Chi decide se pagare? Che messaggio diamo ai regolatori? 

Lo scopo non è solo scoprire se il malware verrebbe bloccato, ma anche capire come reagirebbe l'organizzazione se intere porzioni di rete venissero cifrate all'improvviso. 

Il confine che non c'era 

CISA  (Cybersecurity and Infrastructure Security Agency) ha spiegato che uno degli insegnamenti del caso Colonial  riguarda il confine fra sistemi IT e sistemi OT, spesso meno protetti ma ancora più critici. Un engagement offensive avrebbe identificato percorsi di movimento laterale dalla parte IT verso gli ambienti di controllo industriale. Il team avrebbe provato a muoversi dalla rete IT verso i segmenti che dialogano con i sistemi di controllo della pipeline, individuare punti di segmentazione mancanti e account condivisi, e dimostrare se un attaccante può arrivare fino alle console che gestiscono il flusso del carburante. Sapere in anticipo quanto è realistico un salto dagli uffici alle pompe aiuta a costruire piani di risposta che non passino per lo "spegnere tutto" al primo allarme. 

Come sarebbe andata diversamente 

Con un programma di servizi Offensive CyberGrant preesistente, il caso Colonial Pipeline avrebbe potuto seguire una traiettoria molto diversa. L'account VPN dimenticato sarebbe stato individuato e disattivato prima che finisse in pasto a DarkSide. L'obbligo di autenticazione multifattore e la sorveglianza sulle credenziali esposte avrebbero ridotto al minimo il rischio di accesso iniziale. Le simulazioni di ransomware avrebbero mostrato fallimenti e lacune, consentendo di correggere backup, logging e piani di comunicazione. Una mappa chiara del confine IT-OT avrebbe permesso di gestire un incidente sui sistemi amministrativi senza fermare immediatamente la pipeline. 

Forse un attacco, in qualche forma, ci sarebbe stato comunque. Ma la probabilità che un singolo account dimenticato potesse spegnere quasi metà del carburante della costa orientale sarebbe stata enormemente più bassa. 

I takeaway per chi gestisce infrastrutture critiche 

• Gli account fantasma sono il vero buco nella diga. Ogni account remoto dimenticato ma attivo è una porta che nessuno controlla. La ricerca continua di credenziali esposte e la bonifica periodica degli accessi sono obbligatori, non opzionali. 
• Senza simulazioni realistiche non esiste preparazione. La resilienza a un ransomware non si misura dai documenti ma dalle prove sul campo. Bisogna attaccare in modo controllato la propria organizzazione prima che lo faccia qualcun altro. 
• Il confine tra IT e OT va disegnato matita in mano. Se i sistemi di controllo industriale possono essere raggiunti partendo da un account VPN aziendale, il problema non è se qualcuno proverà a sfruttarlo, ma quando. 
• La sicurezza offensiva non è un lusso ma un servizio essenziale. Per le infrastrutture critiche, i servizi Offensive non sono un vezzo da conferenza, ma l'equivalente digitale delle esercitazioni antincendio.