La cyber security delle auto elettriche oggi deve fare i conti con l’aumento ininterrotto di veicoli non più alimentati con i combustibili fossili. Mentre infatti le auto elettriche o Electric Vehicle (EV) stanno guadagnando sempre più popolarità, il loro essere costantemente connesse le espone alle vulnerabilità tipiche del mondo IT. La connessione alla rete è necessaria per cercare le stazioni di ricarica, per controllare i livelli di carica della batteria o per comunicare con chi di dovere in caso di guasti all’autovettura. Uno sguardo allo stato dell’arte della cybersecurity riferita all’universo EV arriva dal Pwn2Own Automotive. Di fatto è l’unica competizione di hacking al mondo incentrata esclusivamente sulle vulnerabilità legate alla tecnologia delle auto connesse. Sponsorizzato dalla Zero Day Initiative (ZDI), una comunità gestita da TrendMicro, l’evento si è svolto dal 24 al 26 gennaio 2024 a Tokyo all’interno della manifestazione Automotive World.
In quella occasione, secondo quanto riporta Jonathan Munshaw di Cisco Talos Intelligence Group, le società automobilistiche e quelle che operano nella ricarica hanno offerto un milione di dollari ai ricercatori in grado di scovare le vulnerabilità di sicurezza. Per tutta risposta sono state trovate 49 vulnerabilità zero-day, tra cui una catena di exploit di 2 vulnerabilità nelle auto Tesla che potrebbe permettere a un hacker di prendere il controllo del sistema di infotainment a bordo.
Indice degli argomenti
Uno sguardo alla cyber security delle auto elettriche
Ulteriori vulnerabilità sono state individuate nei prodotti ChargePoint e JuiceBox, entrambi presenti anche in Italia. JuiceBox, fra l’altro, è la piattaforma IoT per la gestione intelligente della ricarica di proprietà di Enel. Le case automobilistiche, Tesla in primis, hanno minimizzato sulle conseguenze concrete che un attacco hacker potrebbe comportare in termini di minaccia reale. Si tratterebbe – a detta della società fondata da Elon Musk – di un mero fastidio per il conducente, ma senza nessun effetto davvero pernicioso per l’incolumità del guidatore. E in effetti, rispetto ai bug emersi l’anno scorso, la situazione attuale appare meno grave, soprattutto se si compara la cyber security delle auto con quella dei tanti dispositivi IoT di uso comune.
Ciò non toglie che gli OEM (Original Equipment Manufacturer) e i fornitori di primo livello debbano mettere in campo ciò che è in loro potere per mitigare i rischi potenziali. Ad esempio, devono contribuire a mantenere aggiornato il firmware delle auto elettriche, così come è opportuno che avvenga per qualsiasi device IoT. Del resto i mancati aggiornamenti sono una delle cause principali di cui approfittano gli hacker per condurre a buon fine i loro attacchi. E questo vale in qualsiasi contesto, non soltanto in quello della cyber security per le auto elettriche.
Il Manifatturiero vittima privilegiata degli hacker
Il più recente report di Cisco Talos, riferito agli ultimi 3 mesi del 2023, conferma che gli attacchi rilevati sono stati in prevalenza di tipo ransomware e pre-ransomware. In pratica, si tratta di quella categoria di malware attraverso cui i criminali si impossessano di un dispositivo chiedendo dopo un riscatto al legittimo proprietario. Solo dopo il pagamento sarà messo in condizione di potervi accedere nuovamente. In cima alla lista dei settori più colpiti c’è il Manifatturiero, di cui l’Automotive è uno dei segmenti più importanti. Il che significa che, sebbene gli attacchi registrati possano non aver inciso sulla cyber security specifica delle auto elettriche, ciò non toglie che possano avere delle ricadute indirette nell’universo EV.
Il Manifatturiero in generale, e l’Automotive in particolare, non può permettersi tempi di inattività sia per il ruolo cruciale che ricopre nella produzione di beni essenziali sia per l’effetto a cascata che un’interruzione della produzione stessa produrrebbe su altri settori. Ecco perché gli attacchi alla supply chain restano una delle tendenze più forti nel crimine informatico che indirettamente coinvolge anche il settore dei veicoli elettrici. Non mancano poi altri target come quello della Sanità e dell’Istruzione. Gli istituti scolastici ad esempio risultano molto vulnerabili a causa dell’esiguità dei budget destinati alla cyber security. Quindi, è abbastanza comune che i dati personali degli studenti, una volta esfiltrati, vengano venduti sul dark web.
Le principali minacce dell’ultimo trimestre 2023
Tra i ransomware più utilizzati nel trimestre analizzato da Cisco Talos rientrano Play, Cactus, BlackSuit e NoEscape.
Play è un ransomware che ha preso di mira più di 300 organizzazioni in tutto il mondo. Si fonda sull’utilizzo di un file con estensione “.PLAY” per compromettere i sistemi e le reti delle vittime.
BlackSuit è invece un metodo di attacco che sfrutta le credenziali VPN per ottenere accesso a un account privo di autenticazione multifattore (MFA). Scoperto per la prima volta nel maggio 2023, prende di mira le infrastrutture critiche di alcuni settori. Tra questi, appunto, Manifatturiero, Sanità e Istruzione.
Cactus, per parte sua, sfrutta le credenziali di account compromessi e opera come ransomware-as-a-service (RaaS). Una volta ottenuto l’accesso ai sistemi informatici delle vittime, utilizza script per disabilitare gli strumenti di sicurezza e distribuire l’infezione.
NoEscape infine è un ransomware-as-a-service che impiega principalmente attacchi denial-of-service (DDoS) per costringere le vittime a pagare un riscatto. Rispetto agli altri tipi di ransomware, opera secondo un modello di condivisione dei profitti. I proventi del riscatto sostanzialmente vengono divisi tra gli sviluppatori del ransomware e gli affiliati che pagano per utilizzarlo.
Anche se questi ransomware non appartengono a quelli su cui si sono concentrati i ricercatori del Pwn2Own Automotive, le raccomandazioni per gli OEM sono identiche. Le logiche della cyber security per le auto elettriche non si discostano da quelle da adottare in qualsiasi ambito. Vertono sull’aggiornamento costante dei sistemi e sulla segnalazione tempestiva di qualsiasi incidente informatico ogni qualvolta si presenti.
