Gli ultimi cyber attacchi di possibile matrice russa contro il Gestore dei Servizi Energetici (GSE), Eni e Canarbino inducono ad una più ampia riflessione.
Per ora abbiamo avuto solo ransomware che hanno colpito negli ultimi sette giorni l’operatività IT di Gse e Canarbino (import-export di energia), con anche data breach ai danni della prima, ma in gioco c’è ben di più. Non deve stupire quindi che il sottosegretario Franco Gabrielli, autorità deputata alla sicurezza della Repubblica, sia stato audito stamattina dal Copasir (Comitato parlamentare per la sicurezza della Repubblica) in merito a questi attacchi, tra gli altri punti all’ordine del giorno, inseriti nel novero di ciò che stanno minacciando – appunto – la nostra sicurezza Paese.
I rischi per il settore energetico
Ricordiamo che i cyber attacchi contro i fornitori di energia potrebbero causare perdita di energia, sovraccarichi di corrente, danni ai dispositivi della rete.
Attacco hacker al Gestore dei servizi energetici: offline il sito web, ma proseguono le attività
Senza contare che un’eventuale interruzione dei collegamenti energetici o una sostanziale diminuzione delle forniture energetiche avrebbe gravi ripercussioni sulla supply chain, in termini di ritardi nella consegna delle merci, incertezza produttiva, congestione dei porti, ecc. L’interruzione dei servizi pubblici, inoltre, avrebbe un impatto inevitabile anche a livello sociale con la conseguente nascita di un malcontento diffuso facilmente strumentalizzabile contro le istituzioni nazionali.
L’Italia, a pochi giorni dalle elezioni politiche del 25 settembre, ha infatti richiamato l’attenzione del Vicepresidente del Consiglio di Sicurezza russo Dmitry Medvedev, il quale ha dichiarato di recente “Alle urne vorremmo vedere i cittadini europei non solo esprimere il malcontento per le azioni dei loro governi, ma anche chiamarli a rendere conto, punendoli per la loro evidente stupidità”.
Non sappiamo ancora se gli attacchi al settore energia sia di matrice russa – nel caso di GSE, dietro al cui attacco c’è la gang Blackcat, sembra improbabile; né tantomeno se ci sia la mano del Cremlino. Forse sono solo “criminali” che guardano al soldo, consci che in questa fase il settore energetico è critico e quindi più propenso a pagare.
Tuttavia al minimo questi attacchi dimostrano la vulnerabilità del settore e quindi che in futuro potrebbero ben finire vittima di ritorsioni russe, se non riusciranno a rendersi più sicure in poco tempo.
L’aumento della minaccia russa cyber
Di fatto, secondo un recente comunicato stampa del Nucleo per la Cybersicurezza dell’Agenzia per la Cybersicurezza Nazionale, sembra confermare l’incremento generalizzato di attività malevole, confermato dai dati di monitoraggio dell’Agenzia. Il Nucleo ha evidenziato il perdurare di diverse campagne globali di tipo DDOS e intrusivo, che includono campagne di social engineering volte a individuare target aziendali
particolarmente sensibili (singoli dipendenti o intere articolazioni), nell’ambito delle quali l’Italia risulta essere un target particolarmente colpito. Inoltre, è stato evidenziato come “sempre più spesso gli obbiettivi
di tali azioni siano non solo le principali aziende del settore energetico ma anche tutta la catena di approvvigionamento e di distribuzione dei prodotti o servizi ad esse connesse”. I tecnici dell’Agenzia per la Cybersicurezza Nazionale hanno diffuso, sulla base delle più recenti informazioni sulle minacce cyber, le raccomandazioni tecniche per l’innalzamento dei livelli di protezione delle infrastrutture digitali degli operatori energetici.
Disinformazione
Secondo gli esperti del Digital Forensic Research Lab dell’Atlantic Council, l’Italia “mostra una sostanziale debolezza nei confronti disinformazione russa e a altre forme di interferenza”.
In un’analisi condotta dal Digital Forensic Research Lab attraverso lo strumento di monitoraggio dei social media Meltwater Explore, è emerso che l’Italia è stato il Paese che ha retweetato di più l’hashtag #Dugina usando, inoltre, contenuti filo russi, anti-ucraini e anti-occidentali
Analisti di intelligence ritengono che l’Italia sia piuttosto vulnerabile e permeabile dall’influenza russa.
La Russia, così come altre potenze straniere, da decenni investono ingenti risorse nell’infowar, nel tentativo di condizionare le democrazie liberali e i suoi processi elettorali. Ciò ha portato ad una disinformazione televisiva e della rete prodotta e ideata da attori statuali stranieri che, come obiettivo, hanno quello di disseminare volontariamente informazioni o notizie non vere o fuorvianti per ingannare il cittadino italiano.
Il timore, dunque, è quello che la Russia possa usare le proprie risorse tecnologiche per pilotare le elezioni in Italia.
C’è, infatti, massima allerta da parte dell’Intelligence, come riporta l’Ansa, che ha visionato una lettera inviata da Adolfo Urso, capo del Copasir ed esponente del partito Fratelli d’Italia, ai Presidenti della Camera e del Senato. Nella comunicazione si farebbe riferimento al fatto che le forme di ingerenza di “alcuni attori statuali” nei “processi democratici dei Paesi occidentali” si stanno facendo “ancora più intense ed accentuate”.
Il Copasir, rassicura il presidente Adolfo Urso, si sta già occupando di questi rischi. “È in atto una guerra di disinformazione, manipolazione e propaganda che la Russia nello specifico pratica nei confronti dell’Occidente da un decennio”, accusa Urso, il quale ha anche avviato un’indagine conoscitiva riguardo l’ingerenza straniera “nel sistema di informazione attraverso la rete” (gli hacker), che rimane “uno degli strumenti principali utilizzato dalla Russia”.
Minaccia cyber russa, che stanno facendo gli USA
Ma ad essere minacciati dagli attacchi hacker sono anche quei Paesi che hanno imposto sanzioni al Cremlino nel settore energetico, in primis gli Stati Uniti.
In seguito al blocco delle importazioni di gas e petrolio russi da parte dell’amministrazione Biden, i rischi di azioni malevole contro le infrastrutture energetiche statunitensi sono notevolmente aumentati. Secondo Austin Merritt, Analista di Intelligence sulle minacce informatiche presso Digital Shadows, è probabile che Mosca possa mettere in atto questo tipo di misure come forma di ritorsione per le sanzioni. Sebbene Washington abbia una robusta produzione nazionale di idrocarburi, continua Merritt, un attacco informatico potrebbe avere importanti conseguenze.
Parallelamente, gruppi hacker di altri Paesi ostili all’Occidente, come Cina e Iran, potrebbero approfittare di questa situazione e portare avanti le loro operazioni di spionaggio, mentre tutte le attenzioni sono rivolte verso la Russia.
Nel mese di marzo, il Dipartimento di Giustizia degli Stati Uniti ha condannato tre agenti dell’FSB accusati di aver condotto attacchi tra il 2012 e il 2018 in 135 Paesi. Secondo l’accusa, la campagna prevedeva due fasi. Nella prima, avvenuta tra il 2012 e il 2014 e denominata “Dragonfly” o “Havex”, i cospiratori si sono concentrati sulla catena di approvvigionamento, compromettendo le reti informatiche dei produttori di sistemi ICS/SCADA e dei fornitori di software, e nascondendo il malware. Nella seconda fase, svoltasi tra il 2014 e il 2017 e definita “Dragonfly 2.0”, gli hacker sono passati a compromissioni su specifiche entità; le tattiche avrebbero compreso attacchi di spearphishing rivolti a più di 3.300 dipendenti di oltre 500 società statunitensi e internazionali.
Sempre a marzo, l’FBI ha dichiarato di aver individuato 140 indirizzi IP sovrapposti collegati a un’attività di “scansione anomala” di almeno cinque società energetiche statunitensi.
Tre fattori rendono questo settore particolarmente esposto. Innanzitutto, le aziende energetiche rappresentano un importante bersaglio sia per gli attacchi ransomware sia per quelli killware che hanno lo scopo di infliggere danni fisici.
In secondo luogo, i servizi di pubblica utilità hanno una superficie d’attacco sempre più estesa a causa delle loro ubicazioni geografiche disperse e delle loro complesse relazioni con le catene di fornitura di terzi.
Infine, i sistemi fisici e informatici di tali imprese sono caratterizzati da interdipendenze uniche, le quali rendono le loro infrastrutture OT e le loro reti IT altamente vulnerabili.
Ad essere interessate da potenziali attacchi sono altresì le rotte marittime per la distribuzione delle materie energetiche, in particolare del GNL a cui numerosi Paesi hanno fatto ricorso per sopperire alla carenza di gas proveniente dalla Federazione Russa.
Negli ultimi decenni, le imbarcazioni hanno fatto sempre più affidamento sulla strumentazione tecnologica, come il Global Positioning System (GPS) e il Global Navigation Satellite System (GNSS); per circa 300 dollari, tuttavia, un criminale può procurarsi la tecnologia necessaria a provocare lo spoofing, ossia la falsificazione della localizzazione geografica di un oggetto. Tale manomissione corre il rischio di provocare gravi incidenti come la collisione di imbarcazioni.
Un esempio di spoofing si sarebbe verificato nel 2019, quando i sistemi di navigazione della petroliera britannica Stena Impero ha portato la nave a trovarsi involontariamente in acque iraniane, con conseguente arresto da parte delle autorità locali.
In conclusione
Nel contesto odierno, la crescente domanda mondiale di energia, dovuta alla guerra in Ucraina e ai processi di transizione ecologica, sta aumentando sempre di più la pressione per creare nuove forme di produzione e processi che le supportino. Per questa ragione, le aziende del settore risultano ancora più esposte alle azioni degli hacker, i quali stanno sviluppando nuove tattiche.
Per far fronte all’esigenza di ammodernamento dei sistemi di protezione, GlobalData ha stimato che le imprese energetiche spenderanno fino a 10 miliardi di dollari entro il 2025 nella cybersecurity.
Allo stesso tempo, il Congresso degli Stati Uniti ha promulgato a luglio l’Energy Cybersecurity University Leadership Act, il quale stanzia varie sovvenzioni per studenti laureati e ricercatori post-dottorato che perseguono corsi di studio mirati ad offrire competenze di cybersecurity nel comparto energetico.
Dall’Europa e dall’Italia ci si attende altrettanta prontezza per rispondere a queste minacce.
