L’attentato al Baku-Tbilisi-Ceyhan del 2008 opera di hacker

Le reali cause di un’esplosione all’oleodotto Baku-Tbilisi-Ceyhan (BTC) avvenuta nel 2008 potrebbero gettare nuova luce sulle attività di cyberguerra fra la Russia e i Paesi occidentali. Un articolo di Bloomberg news, citando fonti anonime a conoscenza dei dettagli, descrive come a causare l’esplosione sia stato un attacco informatico. Questo, per intenderci, due anni prima della scoperta di Stuxnet.

Il BTC è un oleodotto che collega il Mar Caspio al Mediterraneo, evitando accuratamente di passare sul territorio russo o dei suoi alleati (come l’Armenia). Per la gran parte si snoda su territorio turco, ed è proprio lì – nei pressi di Refahiye – che nell’estate del 2008 si è verificata l’esplosione.

Secondo la ricostruzione dei fatti data da Bloomberg, gli hacker si sarebbero introdotti nel network che controlla l’oleodotto sfruttando proprio il sistema di sicurezza che avrebbe dovuto difenderlo: le telecamere. Essi avrebbero infatti scoperto una vulnerabilità nel software delle telecamere, che una volta sfruttata avrebbe dato loro accesso all’intera rete di controllo.

Nella rete hanno poi scoperto un computer Windows che gestiva il sistema di allarme e lo hanno infettato con un malware. Il malware avrebbe quindi dato la possibilità agli hacker di accedere al network da remoto più volte senza essere scoperti.

L’obiettivo era quello di disabilitare l’oleodotto e per farlo non vi era bisogno di accedere alla sala controllo. Benché i tubi passino sotto terra, in determinati punti vi sono stazioni in superficie che controllano le valvole per mezzo di terminali informatici. Agli hacker è bastato accedere a uno di essi per aumentare la pressione del petrolio e contemporaneamente disabilitare il sistema di allarme.

Anche i sistemi satellitari di back up sono stati compromessi (probabilmente con dei jammer), segno che l’operazione è stata condotta da professionisti ben preparati. Inoltre, l’accesso al sistema di sicurezza ha consentito loro di cancellare oltre 60 ore di registrazioni video, per eliminare le tracce dell’azione. Solo una singola telecamera a infrarossi ha mantenuto la scena in memoria, salvatasi grazie al fatto che essa non faceva parte del network di allarme disabilitato dagli hacker. Nella registrazione si vedono le sagome di due persone con un laptop.

L’elevatissima pressione nei tubi ha quindi generato un’esplosione alle ore 23 del 5 agosto 2008, ma poiché i sistemi di allarme non erano funzionanti, la sala controllo dell’oleodotto non si è accorta di nulla. Solo 40 minuti dopo un dipendente della sicurezza, viste le fiamme che divampavano, ha dato l’allarme.

Ingenti i danni, sia finanziari sia ambientali: 30.000 barili di petrolio versati proprio sopra una falda acquifera, la Repubblica dell’Azerbaigian (da dove partiva il petrolio) ha perso 1 miliardo di dollari in mancate esportazioni, le aziende che gestiscono l’oleodotto (soprattutto BP) hanno perso 5 milioni di dollari al giorno per il blocco delle attività, che in tutto è durato quasi tre settimane.

Dopo l’attacco sono arrivate le prime rivendicazioni e le prime smentite. Il Partito dei Lavoratori del Kurdistan (PKK) è stato veloce ad auto-accusarsi dell’esplosione. L’azienda che in Turchia gestisce il tratto di competenza ha affermato che i loro computer e le loro linee di comunicazione non sono mai state compromesse, mentre BP ha indicato come causa di chiusura di quel tratto di oleodotto semplicemente “un incendio”, anche se qualche anno dopo all’interno di una causa legale per il mancato raggiungimento di determinate quote ha citato un “atto di terrorismo“.

Quello che molti pensano è che dietro il sabotaggio informatico ci fosse la Russia, contraria al progetto fin dall’inizio. Non dimentichiamoci inoltre che quelli erano i giorni della guerra fra Russia e Georgia (proprio in Georgia passa un tratto dell’oleodotto) e che qualche giorno dopo, durante le operazioni di guerra, jet russi avrebbero bombardato alcune parti della pipeline in territorio georgiano (mancandole di poco).

I servizi USA (che hanno condotto indagini autonome) puntano chiaramente il dito verso la Russia, per quella che probabilmente è stata una delle prime azioni di cyberguerra con danni ad asset fisici.

Fonti:
http://www.bloomberg.com/news/2014-12-10/mysterious-08-turkey-pipeline-blast-opened-new-cyberwar.html
http://www.dailymail.co.uk/news/article-1043185/The-Pipeline-War-Russian-bear-goes-Wests-jugular.html
http://www.bloomberg.com/apps/news?pid=newsarchive&sid=amTrZ4bgfyFw

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.