Con l’intensificarsi del conflitto tra Usa, Israele e Iran iniziato il 28 febbraio cresce l’allarme su possibili attacchi alle infrastrutture critiche a livello mondiale. Il National cyber security centre (Ncsc) del Regno Unito ha recentemente emesso un alert sottolineando come le organizzazioni con attività o catene di approvvigionamento in Medio Oriente affrontino rischi crescenti legati a operazioni cyber condotte da attori collegati all’Iran, sia statali sia gruppi di hacktivisti ideologicamente motivati.L’avviso arriva in una fase in cui si registrano attività di ricognizione, campagne di attacchi DDoS (Distributed denial-of-service) e test preliminari su sistemi sensibili. Tutti segnali che indicano come diversi attori malevoli si stiano preparando a possibili escalation nel dominio cyber. Secondo gli esperti dell’azienda di cybersicurezza CrowdStrike, i gruppi legati all’Iran hanno già iniziato a scansionare reti e testare vettori d’attacco, dimostrando che la minaccia è concreta e potenzialmente imminente.Infrastrutture critiche nel mirinoLe Infrastrutture Critiche Nazionali (Cni), come reti elettriche, impianti di trattamento delle acque, sistemi di trasporto e piattaforme industriali di controllo (Ics/Scada), risultano particolarmente vulnerabili alle minacce cibernetiche.In molti casi questi sistemi si basano su tecnologie legacy progettate senza difese adeguate. Con il tempo tali piattaforme sono state progressivamente integrate con le reti It aziendali e, in alcuni casi, collegate direttamente a internet per esigenze di monitoraggio e manutenzione.La difficoltà nell’applicare aggiornamenti di sicurezza, l’accesso remoto da parte di fornitori e manutentori e l’utilizzo di dispositivi IoT poco sicuri contribuiscono ad ampliare la superficie di attacco. Proprio per il loro valore strategico, queste infrastrutture rappresentano obiettivi privilegiati per attori statali e gruppi cyber avanzati.Gli attaccanti che riescono a sfruttare vulnerabilità nei sistemi Ics e Scada o anche configurazioni errate, possono manipolare processi industriali, interrompere operazioni e provocare persino danni fisici. Nel settore energetico, ad esempio, un sistema Ics compromesso potrebbe spegnere centrali, interferire con l’equilibrio della rete elettrica o generare guasti a catena.Negli impianti idrici sarebbe possibile alterare i sistemi di dosaggio chimico o interrompere la distribuzione dell’acqua, con conseguenze dirette per la salute pubblica. Non si tratta di scenari ipotetici, ma di effetti già osservati negli anni passati a seguito di attacchi contro infrastrutture critiche in diverse parti del mondo.Attori della minaccia e motivazioniTra gli attori statali legati all’Iran figurano gruppi come Apt33, Apt34 e Apt35, che storicamente hanno preso di mira aziende occidentali del settore energetico, supply chain critiche e reti governative. Questi gruppi combinano strumenti offensivi avanzati con tecniche di social engineering e campagne di phishing, perseguendo obiettivi che spaziano dallo spionaggio all’esfiltrazione di dati fino, in alcuni casi, al sabotaggio operativo.Accanto ai gruppi sponsorizzati dallo Stato operano anche hacktivisti e milizie cyber iraniane che sfruttano vulnerabilità nei sistemi pubblici o aziendali per condurre attacchi DDoS, defacement di siti web o campagne di diffusione di malware. Pur essendo generalmente meno sofisticati rispetto agli attori statali, questi attacchi coordinati possono comunque provocare disagi significativi.Dal 28 febbraio, dopo i raid condotti da Usa e Israele contro l’Iran, il fenomeno dell’hacktivismo si è ulteriormente polarizzato in due fronti contrapposti. Il team di analisti di Meridian Group ha osservato, sul versante anti-Iran, attività condotte da gruppi come Gonjeshke Darande, Troll Team, Shadow33 e Legion (alleanza F.I.R.).Questi gruppi hanno dato vita a canali informativi anti-regime e hanno rivendicato operazioni di defacement di siti, data leak e attacchi DDoS contro istituzioni finanziarie, media e asset governativi.Sul fronte opposto, pro-Iran, operano collettivi come Cyber Islamic Resistance e Handala, affiancati da noti gruppi filorussi come NoName057(16). Le loro attività comprendono campagne DDoS, intrusioni informatiche e operazioni di propaganda.In questo contesto emergono alleanze transnazionali e operazioni a forte impatto mediatico e psicologico, con il rischio di spillover verso Paesi terzi e infrastrutture occidentali.L’allarme per l’ItaliaIl livello di attenzione per l’Italia è elevato. Secondo Pietro Di Maria, Vice President di Meridian Group, infatti, negli ultimi giorni su diversi canali Telegram – prevalentemente dell’area russofona e rilanciati anche da ambienti filoiraniani – stanno circolando richieste esplicite per individuare sistemi Scada italiani esposti su internet e potenzialmente compromettibili.“Non si tratta di attacchi mirati contro l’Italia”, spiega. “Piuttosto di una ricerca opportunistica di impianti di controllo industriale direttamente raggiungibili dalla rete pubblica, spesso con configurazioni deboli o protezioni inadeguate. In questi casi l’accesso non richiede necessariamente capacità avanzate, ma sfrutta semplicemente un’esposizione non corretta”.Al momento, aggiunge, non risultano evidenze di compromissioni sistemiche delle infrastrutture critiche nazionali. Tuttavia, questo tipo di attività riporta l’attenzione su un aspetto centrale della sicurezza cyber. “La riduzione della superficie di esposizione resta una priorità immediata per rafforzare le capacità di difesa del sistema paese”, conclude.Alla luce di queste osservazioni è lecito chiedersi quanti e quali sistemi Ics e Scada italiani siano oggi esposti online senza adeguate protezioni. Sebbene non sia possibile fornire una stima puntuale dei sistemi a rischio, numerose piattaforme industriali utilizzate da aziende italiane risultano ancora accessibili dalla rete pubblica.Un’analisi condotta con il supporto dell’esperto di Ot security Alessio Rosas mostra come diversi sistemi di controllo industriale siano raggiungibili direttamente via internet.In alcuni casi è possibile individuare pannelli di gestione di impianti idroelettrici appartenenti a comuni italiani, sistemi di controllo di turbine eoliche e altre piattaforme industriali accessibili online. In determinate condizioni, l’accesso a questi sistemi potrebbe consentire di interferire con le operazioni delle aziende che li utilizzano.La manipolazione degli elementi di controllo dei processi all’interno di questi sistemi potrebbe causare danni significativi.“Nonostante le linee guida e le normative in vigore, come la direttiva NIS2, molte infrastrutture critiche — in particolare nel settore idrico — hanno sistemi di supervisione e di processo esposti su internet con metodi di autenticazione deboli o, in alcuni casi, addirittura senza autenticazione, ad esempio tramite Vnc”, spiega Rosas. “Un attaccante, specialmente nell’attuale contesto geopolitico, potrebbe mettere fuori uso questi strumenti con risorse limitate e competenze tecniche relativamente modeste. In questi casi l’uso delle Vpn è essenziale, così come la segregazione delle reti, per mantenere tali sistemi sotto controllo".Vettori e modalità di attaccoGli attacchi contro le infrastrutture critiche possono assumere diverse forme. Tra le tecniche più utilizzate figurano campagne di phishing e l’abuso dei redirect OAuth, strumenti che consentono agli aggressori di aggirare le difese tradizionali e reindirizzare gli utenti verso infrastrutture controllate.Un’altra modalità riguarda lo sfruttamento diretto delle vulnerabilità presenti nei sistemi Ics e Scada. In questi casi gli attaccanti possono intervenire da remoto su sensori, attuatori e processi industriali, con possibili ripercussioni sulle operazioni fisiche degli impianti.Queste attività vengono spesso affiancate da campagne DDoS, utilizzate per saturare servizi pubblici o distrarre i sistemi di difesa mentre sono in corso operazioni più mirate.A queste tecniche si aggiunge l’uso sempre più frequente di malware e ransomware, impiegati per esfiltrare dati sensibili, bloccare sistemi critici o prenderli in ostaggio.Gli attaccanti combinano queste tecniche con attività di ricognizione volte a mappare architetture di rete e individuare sistemi critici. Sebbene molti sistemi Ics siano separati dalle reti It aziendali, le connessioni utilizzate per il monitoraggio e la manutenzione possono consentire agli aggressori di transitare verso i sistemi Ot, con conseguenze potenzialmente devastanti.Un attacco mirato alle infrastrutture critiche potrebbe provocare blackout, interruzioni nell’approvvigionamento idrico o energetico, danni economici e perdita di fiducia nei servizi essenziali.“L’esposizione delle infrastrutture critiche rappresenta oggi uno dei punti più sensibili: un loro malfunzionamento, anche temporaneo, avrebbe ricadute dirette sulla sicurezza e sulla vita quotidiana delle persone”, sottolinea Luigi Martire, Head of Cert di Tinexta Cyber, società italiana specializzata in cybersecurity e gestione delle minacce informatiche.“In questo scenario il ruolo di chi opera nella difesa cyber è monitorare con precisione l’evoluzione delle minacce, interpretare correttamente gli indicatori provenienti dal Cti e intervenire tempestivamente per contenere attività malevole prima che possano degenerare”, conclude.[All'adattamento del pezzo ha contribuito Elena Betti]