Le utility idriche ed elettriche affrontano crescenti cyberattacchi, con il 62% delle aziende colpite nel 2024. Identità e sistemi legacy tra i punti deboli principali.
Autore: Redazione SecurityOpenLab
Le infrastrutture critiche, in particolare i servizi idrici ed elettrici, sono sempre più esposte a cyberattacchi sofisticati. Lo rivela il report The State of Critical Infrastructure Resilience pubblicato da Semperis, basato su un’indagine condotta su 350 utility negli Stati Uniti e nel Regno Unito. Il report analizza le minacce informatiche che colpiscono questi settori, evidenziando l’aumento di attacchi ransomware e l’attività di gruppi sponsorizzati da stati nazionali.
Secondo lo studio, il 62% degli operatori intervistati ha subito almeno un attacco informatico nel 2024; l’80% è stato colpito più volte. Tra gli attaccanti, APT legati a nazioni come Cina, Russia, Iran e Corea del Nord figurano come responsabili del 59% degli attacchi. La finalità varia dal sabotaggio per scopi geopolitici al ricatto economico; a prescindere dalla motivazione, il 54% degli attacchi ha causato danni permanenti a dati o sistemi.
Un caso emblematico citato nel report è quello di Volt Typhoon, gruppo cinese che è rimasto attivo nei sistemi di una utility elettrica statunitense per quasi un anno, senza essere rilevato. Il caso sottolinea la capacità degli aggressori di operare in modo silente, sfruttando vulnerabilità in sistemi obsoleti o protocolli poco sicuri.
Gli attaccanti in oggetto utilizzano principalmente due approcci, entrambi ben noti e popolari in questo momento. La compromissione delle identità riguarda l’82% degli attacchi e in genera coinvolge un attacco contro servizi di gestione delle credenziali, come per Active Directory, Entra ID e Okta. La loro compromissione permette movimenti laterali e l’escalation dei privilegi.
L’altra tecnica, particolarmente popolare negli ultimi tempi, è quella Living off the Land, ossia lo sfruttamento di strumenti legittimi già presenti nei sistemi (come PowerShell o cmd.exe) per evitare la detection. Secondo il report, la tecnica risulta utilizzata dal 40% dei gruppi sponsorizzati da stati nazionali e rende gli attacchi difficili da identificare.
Inoltre, nel settore idrico gli attaccanti hanno sfruttato vulnerabilità in controller industriali come Unitronics per manipolare i processi di trattamento delle acque. Un attacco in Pennsylvania nel 2023 ha portato a tentativi di alterare i livelli di sostanze chimiche, mentre in Florida è stato violato un sistema di controllo remoto per avvelenare l’acqua.
Oltre ai danni diretti, il report segnala che il 57% degli attacchi ha causato una interruzione delle operazioni, con tempi di ripristino medi di 24 ore. Inoltre, dato che il 35% delle utility non dispone di piani di recovery per i sistemi di identità, spesso le infrastrutture colpite sono esposte a interruzioni prolungate. Ultimo ma non meno importante, il 30% degli operatori identifica i sistemi legacy come la principale vulnerabilità, dato che sono spesso privi di patch o di monitoraggio adeguato.
Alla luce di questo ci sono alcune azioni che si possono fare per mitigare il rischio, che ovviamente sono allineate a quelle consigliate per qualsiasi circostanza. La prima è l’adozione di un approccio assume-breach, ossia partire dal presupposto che gli attaccanti siano già presenti nelle reti e preparare piani di risposta immediati.
La seconda, anche alla luce della dinamica di attacco segnala sopra, consiste nella protezione dei sistemi di identità mediante soluzioni di rilevamento avanzato (es. identity forensics). Caldeggiato inoltre un sistema di backup sicuri per Active Directory.
Azioni indirette, che però possono portare benefici concreti: migliorare la collaborazione pubblico-privato, condividendo le informazioni di intelligence sulle minacce e standardizzando i protocolli di sicurezza, e investire in formazione e risorse per colmare il gap critico in contesti in cui il fattore umano è spesso il primo bersaglio.