A seguito degli attacchi contro Eni, Canarbino e Gse, l’Agenzia per la Cybersicurezza Nazionale ha emanato raccomandazioni tecniche per l’innalzamento dei livelli di protezione delle infrastrutture digitali degli operatori energetici.
Autore: Redazione SecurityOpenLab
La posizione critica del settore energetico all’interno del contesto economico europeo rischia di aggravarsi non solo a causa delle forniture a singhiozzo dalla Russia e delle speculazioni sul prezzo del gas. Nelle ultime settimane, infatti, si sta registrando un incremento degli attacchi cyber indirizzati contro le infrastrutture degli operatori energetici.
In particolare, l’Italia si sta delineando come un target particolarmente appetibile per gli attaccanti, con il coinvolgimento del gigante petrolifero ENI, della sede di Sarzana del gruppo energetico Canarbino, e del Gestore italiano dei servizi energetici (Gse spa) in recenti attacchi. Ricordiamo che quest’ultima è la società del ministero dell'Economia fondata nel 1999, che si occupa della promozione e sviluppo delle rinnovabili e dell’efficienza energetica. Tra le altre cose, è a Gse che fa capo l’acquisto e stoccaggio del gas atto a garantire la sicurezza energetica del nostro Paese: uno dei temi più caldi del momento. Canarbino è un gruppo privato di import ed export di energia.
Bloomberg ha pubblicato la dichiarazione di un portavoce di Eni, che “conferma che i sistemi di protezione interna hanno rilevato accessi non autorizzati alla rete aziendale". In relazione all’attacco contro Gse, una nota ufficiale dell’azienda chiarisce che “Gse è stata vittima di un attacco informatico per mezzo di un malware di ultima generazione”, e di conseguenza ha allertato le Autorità competenti. In questo caso c’è anche una rivendicazione da parte di uno dei gruppi criminali più attivi del momento, il famigerato BlackCat.
Per quanto riguarda Canarbino, le note ufficiali parlano generalmente di un "cyber attacco" a cui i sistemi di difesa sono riusciti a tenere testa, con il risultato che non ci sono stati "significativi disservizi per i clienti, né la sottrazione di dati sensibili degli stessi. I sistemi informatici sono stati prontamente riattivati in sequenza, dopo un’attenta attività di verifica e analisi, e sono tornati pienamente funzionanti”. I dettagli sui tre attacchi scarseggiano, quindi non ci sono gli elementi per fare supposizioni certe sulla dinamica o sul movente degli stessi. Però si può ragionare sullo scenario geopolitico in cui è doveroso contestualizzare questi episodi.
A seguito dell’invasione dell’Ucraina da parte della Russia, e delle conseguenti sanzioni applicate dall’UE contro il Cremlino, si è innescata la ben nota crisi energetica europea. Una situazione di cui in molti criminali informatici possono e stanno cercando di approfittare. Per iniziare, la guerra innescata da Mosca ha portato, per la prima volta, il cybercrime a schierarsi politicamente: gruppi e individui che hanno sempre operato esclusivamente per profitto, hanno adottato posizioni russofile o russofobe e hanno di conseguenza attuato attacchi con fine lucroso, ma volutamente direzionati contro il fronte a loro avverso del conflitto.
Ci sono poi gli storici gruppi sponsorizzati da stati nazionali (APT) che da sempre operano per fini politici. Nel recente report Microsoft Digital Defense relativo al periodo da luglio 2020 a giugno 2021, gli esperti hanno calcolato che la Russia è stata responsabile del 58% degli attacchi contro l’Occidente. Fra le possibilità spicca quella che gli APT russi abbiano raccolto l’invito di Mosca di ostacolare i Paesi dell’Alleanza Atlantica, di cui l’Italia è parte. Infine, sono da tenere in conto gli hacktivisti, che perorano la causa della parte di cui condividono gli ideali, e che scatenano attacchi per lo più dimostrativi contro gli avversari – tipicamente attacchi DDoS.
Comprendere chi è il mandante e chi l’esecutore di un attacco cyber è fondamentale per capirne i fini, ma non è semplice, e tutte le categorie sopra menzionate hanno dei moventi credibili. Iniziamo con il cybercrime: i criminali informatici sono sempre bene informati sulle notizie di attualità e - come il COVID ha insegnato – le sfruttano con notevole velocità e flessibilità per arricchirsi.
I gruppi ransomware economicamente motivati sanno bene che le aziende energetiche potrebbero essere disposte a pagare riscatti milionari pur di non interrompere le forniture. In questo momento è ancora più vero perché la crisi energetica campeggia sulle prime pagine di tutti i quotidiani europei e le aziende energetiche sono nell’occhio del ciclone. Gli attacchi spinti da motivi economici contro questo target sono altamente prevedibili.
Le aziende energetiche sono però un bersaglio appetibile anche per i gruppi APT, che verosimilmente potrebbero essere stati incaricati dai propri sponsor di scatenare attacchi dannosi contro le aziende energetiche dei paesi europei per spingere la classe politica e l’opinione pubblica a fare marcia indietro sulle sanzioni comminate alla Russia o su quelle allo studio. Potrebbe non essere un caso che gli attacchi contro Eni, Gse e Canarbino siano avvenuti a ridosso della proposta europea di fissare un price cap al prezzo del gas russo, e alla decisione già presa di fissare un price cap al prezzo del petrolio di eguale provenienza. L’economia russa sta beneficiando dell’impennata dei prezzi, i price cap potrebbero verosimilmente creare problemi al Cremlino.
Non è da scartare a priori nemmeno l’opzione ibrida, ossia che gruppi cyber ora politicamente schierati stiano scatenando attacchi economicamente motivati, contro aziende e Paesi ostili a Mosca. Nella situazione odierna la differenza principale rispetto all’azione di un APT è che questi ultimi in genere conducono campagne stealth e di lungo periodo, delle quali non ci si accorge se non mesi o anni dopo, come nel caso di Stuxnet per intenderci.
Le attività del cybercrime invece vengono scoperte immediatamente, perché sono gli attaccanti stessi a rivendicare gli attacchi per incassare il prima possibile i proventi ad essi legati. Il fatto che le attività non siano sponsorizzate dagli stati nazionali non deve tranquillizzare: come sottolineava Andrea Zapparoli Manzoni del Comitato Clusit lo scorso marzo, il cybercrime è da valutare sia per il numero degli attacchi che sferra ogni anno, sia per la loro gravità, dato che il 79% degli attacchi promossi dal cybercrime ha ormai un potenziale gravissimo o devastante. Decisamente meno preoccupante è l’attività DDoS, che certo crea disservizi, ma solo temporanei.
Dato il quadro attuale, gli attacchi contro le aziende energetiche sono finiti sul tavolo dell’Agenzia per la Cybersicurezza Nazionale, che è stata coinvolta in una riunione del Nucleo per la cybersicurezza. Le note conclusive che sono state diramate tramite stampa fanno riferimento a "diverse campagne globali di tipo DDoS e intrusivo, nell’ambito delle quali l’Italia risulta essere un target particolarmente colpito", con l’importante precisazione che gli obiettivi sono sempre più spesso "le principali aziende del settore energetico, ma anche tutta la catena di approvvigionamento e di distribuzione dei prodotti o servizi ad esse connesse".
Chi sono i mittenti? La dichiarazione fa esplicito riferimento ad "azioni apparentemente riconducibili al cybercrime", in relazione alle quali gli esperti dell’Agenzia hanno diramato raccomandazioni tecniche “per l’innalzamento dei livelli di protezione delle infrastrutture digitali degli operatori energetici, adeguandole costantemente alle più recenti informazioni sulla minaccia”. Nulla di nuovo in questo passaggio, dato che le aziende coinvolte negli attacchi rientrano fra le infrastrutture critiche, che devono rispondere a particolari standard di cyber security.
In che cosa sono consistiti gli attacchi? Le note ufficiali fanno riferimento a “campagne di social engineering volte a individuare target aziendali particolarmente sensibili (singoli dipendenti o intere articolazioni), unitamente a campagne di phishing. Queste ultime perpetrate allo scopo di appropriarsi di informazioni sensibili o di credenziali di accesso, utilizzate poi direttamente dall’attaccante, ovvero ‘vendute’ ad un committente o altra gang criminale”.
Anche qui non c’è nulla di nuovo: l'Energy Industry Threat Report 2021 pubblicato da Lookout riferiva già nel 2021 di un inasprimento del phishing contro i dipendenti del settore energetico – che per quanto detto sopra è da tempo un target ambito dal cybercrime. L’attacco contro Colonial Pipeline è un esempio lampante dei danni che può causare un incidente riuscito. Stando alla dichiarazione dell’ACN, quella che è necessario implementare è una difesa da minacce note e diffuse, ma non per questo facilmente bloccabili. Come spesso evidenziano gli esperti di security, la domanda non è “se” ma “quando” un attacco colpirà. Non si può impedire che accada, ma si può e si deve avere una resilienza tale da continuare a operare nonostante l’accaduto. Soprattutto se quella sotto attacco è una infrastruttura critica.