In alcuni casi è possibile individuare pannelli di gestione di impianti idroelettrici appartenenti a comuni italiani, sistemi di controllo di turbine eoliche e altre piattaforme industriali accessibili online. In determinate condizioni, l’accesso a questi sistemi potrebbe consentire di interferire con le operazioni delle aziende che li utilizzano.
La manipolazione degli elementi di controllo dei processi all’interno di questi sistemi potrebbe causare danni significativi.
“Nonostante le linee guida e le normative in vigore, come la direttiva NIS2, molte infrastrutture critiche — in particolare nel settore idrico — hanno sistemi di supervisione e di processo esposti su internet con metodi di autenticazione deboli o, in alcuni casi, addirittura senza autenticazione, ad esempio tramite Vnc”, spiega Rosas. “Un attaccante, specialmente nell’attuale contesto geopolitico, potrebbe mettere fuori uso questi strumenti con risorse limitate e competenze tecniche relativamente modeste. In questi casi l’uso delle Vpn è essenziale, così come la segregazione delle reti, per mantenere tali sistemi sotto controllo”.
Vettori e modalità di attacco
Gli attacchi contro le infrastrutture critiche possono assumere diverse forme. Tra le tecniche più utilizzate figurano campagne di phishing e l’abuso dei redirect OAuth, strumenti che consentono agli aggressori di aggirare le difese tradizionali e reindirizzare gli utenti verso infrastrutture controllate.
Un’altra modalità riguarda lo sfruttamento diretto delle vulnerabilità presenti nei sistemi Ics e Scada. In questi casi gli attaccanti possono intervenire da remoto su sensori, attuatori e processi industriali, con possibili ripercussioni sulle operazioni fisiche degli impianti.
Queste attività vengono spesso affiancate da campagne DDoS, utilizzate per saturare servizi pubblici o distrarre i sistemi di difesa mentre sono in corso operazioni più mirate.
A queste tecniche si aggiunge l’uso sempre più frequente di malware e ransomware, impiegati per esfiltrare dati sensibili, bloccare sistemi critici o prenderli in ostaggio.
Gli attaccanti combinano queste tecniche con attività di ricognizione volte a mappare architetture di rete e individuare sistemi critici. Sebbene molti sistemi Ics siano separati dalle reti It aziendali, le connessioni utilizzate per il monitoraggio e la manutenzione possono consentire agli aggressori di transitare verso i sistemi Ot, con conseguenze potenzialmente devastanti.
Un attacco mirato alle infrastrutture critiche potrebbe provocare blackout, interruzioni nell’approvvigionamento idrico o energetico, danni economici e perdita di fiducia nei servizi essenziali.
“L’esposizione delle infrastrutture critiche rappresenta oggi uno dei punti più sensibili: un loro malfunzionamento, anche temporaneo, avrebbe ricadute dirette sulla sicurezza e sulla vita quotidiana delle persone”, sottolinea Luigi Martire, Head of Cert di Tinexta Cyber, società italiana specializzata in cybersecurity e gestione delle minacce informatiche.
“In questo scenario il ruolo di chi opera nella difesa cyber è monitorare con precisione l’evoluzione delle minacce, interpretare correttamente gli indicatori provenienti dal Cti e intervenire tempestivamente per contenere attività malevole prima che possano degenerare”, conclude.
[All’adattamento del pezzo ha contribuito Elena Betti]
