Articolo tratto dal numero di febbraio 2022 di Forbes Italia. Abbonati!
Il comparto energetico è essenziale per garantire lo sviluppo della società contemporanea perché è parte integrante di tutti i settori socioeconomici: un suo disservizio totale o parziale, infatti, può contribuire a produrre il collasso economico di un Paese.
La situazione geopolitica globale attuale ha aumentato i rischi nel cyberspazio, aggravando le possibili conseguenze sulle infrastrutture critiche energetiche in modo esponenziale. Secondo gli esperti, nel solo periodo tra giugno e luglio 2022 gli attacchi informatici contro il mondo dell’energia sono aumentati del 33%.
Il conflitto tra Russia e Ucraina, che ha generato profitti alle imprese produttrici, e l’ampia diffusione mediatica attorno al settore, hanno contribuito a sottolinearne le criticità. L’inizio del conflitto ha stravolto la struttura delle interdipendenze geopolitiche del continente europeo, investendo gli aspetti attinenti alla sicurezza energetica del nostro Paese.
Come riportato da una ricerca di Trend Micro Research, la mancanza di figure specializzate e i ritardi di manovra hanno portato l’Italia a essere il primo paese dell’Ue per numero di attacchi ransomware nel primo semestre del 2022.
L’obbligo di notifica di incidenti di rete per chi fa parte del Perimetro di sicurezza nazionale cibernetica, una tra le misure previste nell’ultimo decreto, rappresenta un importante passo in avanti, ma il percorso è ancora lungo e complesso.
È fondamentale continuare a investire di più nella prevenzione, per sviluppare una cultura della sicurezza ed evitare di lasciarsi cogliere impreparati. Una delle società più attive nel campo della cybersicurezza è DuskRise, realtà che, con il supporto dell’unità di intelligence sulle minacce Cluster25, tiene sotto costante controllo il panorama internazionale delle minacce informatiche per fornire una serie di servizi di monitoraggio e protezione
ad aziende ed enti governativi.
Forbes ha intervistato Emanuele De Lucia, chief technology oofficer della società, che ha approfondito il campo delle attività cyber nell’attuale contesto geopolitico, con un occhio di riguardo al settore energetico.
De Lucia, in cosa consiste l’attività di prevenzione di DuskRise?
Una delle nostre attività di punta è la cyber intelligence, un settore che si estende dal monitoraggio del perimetro interno al controllo di quello esterno. Il focus è estremamente vasto e il settore è piuttosto complesso. Solo nel 2022 il nostro centro di analisi ha prodotto 2.110 report relativi a minacce informatiche emergenti, gruppi statuali e attività criminali, condividendo al contempo milioni di indicatori di attacco e di compromissione. Il settore è in forte crescita dal lato commerciale, il numero sempre maggiore di minacce sta attirando l’interesse sia del mondo
privato che delle istituzioni. Lo scopo è quello di arrivare prima degli hacker e condividere informazioni sulle tecniche di attacco per far sì che i nostri clienti possano proteggersi preventivamente. Oggi l’attenzione è rivolta a coloro che agiscono non solo a livello criminale. Parlo di attori vicini alla Russia. Noi, a livello di ricerca, monitoriamo le attività non solo dei cybercriminali comuni, ma anche di gruppi considerati vicini a governi ostili. Spesso lavoriamo su informazioni parziali e/o incomplete, perseguendo ipotesi che cerchiamo di validare al meglio delle nostre possibilità. Nel nostro mestiere di rado si hanno a disposizione tutte le informazioni che vorremmo in fase di analisi. A livello di prevenzione risulta ancora piuttosto complicato. Molto dipende dal singolo perimetro, dalle politiche di sicurezza in essere e dalle tecnologie impiegate.
Oggi da chi provengono le maggiori minacce?
C’è la parte di spionaggio, di attivismo, quella orientata alla compromissione di sistemi di controllo industriale, come le reti elettriche. Molto spesso queste sorgenti di minaccia sono interconnesse. Pensiamo, ad esempio, alle relazioni dell’ecosistema criminale russo con esponenti di agenzie governative locali. Cluster25 ha avuto modo di analizzare conversazioni nel dark web fra individui russofoni, operanti nel mondo del crimine informatico, che parlavano dell’ufficio riferendosi ad agenzie governative russe. Questa interconnessione rappresenta già di per sé un grosso vantaggio, oltre al fatto che chi attacca ha la possibilità di percorrere tante strade per arrivare all’obiettivo, mentre chi difende può sbagliare una volta soltanto. Inoltre i potenziali vettori di attacco sono tanti e le tecniche di ingegneria sociale si fanno sempre più sofisticate. Se prima i cybercriminali si limitavano all’email di phishing, cioè un messaggio fraudolento creato in modo da sembrare autentico, oggi cresce la tendenza a supportare queste tecniche mediante profili social estremamente credibili per le operazioni di adescamento delle potenziali vittime. A chi difende spesso viene demandato il compito di controllare e verificare molteplici aspetti della sicurezza: amministrazione, politiche, procedure, passando anche al dettaglio tecnico, con un numero di risorse spesso sottodimensionato.
Come si è evoluta nel tempo l’attività cyber-criminale?
Nel tempo abbiamo assistito all’evoluzione di un ecosistema sempre più organizzato. Se in passato molti collettivi criminali risultavano isolati e dovevano procurarsi autonomamente mezzi e risorse per le proprie attività, oggi possiamo parlare di un ecosistema in cui le relazioni fra i principali cartelli la fanno da padrone e gli attori in gioco sono focalizzati su specifici settori di competenza. Oggi, per portare a compimento un’operazione ransomware, gli attaccanti demandano o si procurano i primi vettori di attacco mediante l’ausilio di altri gruppi a loro collegati, la cui attività criminale si focalizza nel mettere a disposizione una prima facile via di accesso ai perimetri delle vittime. L’attività finale, dunque, è pesantemente a danno delle aziende. Se prima, però, il criminale aveva disponibilità relativamente limitata di mezzi e risorse, oggi può contare su piattaforme dall’utilizzo diffuso nel panorama cyber informatico, come Telegram, Discord e forum/marketplace in cui chiedere e ottenere, dietro compenso, quello di cui ha bisogno. Oggi è possibile comprare dati, informazioni, vettori di accesso e affittare malware, reti botnet, infrastrutture di rete, etc. Sono molto attivi i cartelli ransomware che rubano i dati delle aziende, cifrano i contenuti di file e documenti cercando appositamente quelli più sensibili per poi passare al ricatto. Chiedono poi una somma di denaro, di solito molto consistente, in cambio
dei file rubati e della possibilità di ripristino di quelli cifrati. È un sistema che alimenta un flusso di denaro miliardario per le casse dei criminali e che va ad alimentare ulteriori attività illecite nel mondo fisico.
Come si inserisce l’attività cyber nel contesto geopolitico e in particolare nel conflitto Russia Ucraina?
Si tratta del primo grande conflitto in cui gli attacchi cyber hanno sostenuto la manovra fisica di un esercito. Un’ora prima dell’invasione di Putin è avvenuto l’attacco alla rete satellitare ViaSat, che ha portato a difficoltà nell’erogazione del servizio internet satellitare in tutta Europa. Questo è solo un esempio di come la cyber war sia entrata fortemente nelle attività militari ed è un dominio che i russi hanno utilizzato a proprio vantaggio. Tuttavia, non è facile quantificarne l’efficacia, soprattutto considerando la discordanza del flusso informativo proveniente dagli attori in campo. Chi subisce l’attacco tende a minimizzarne gli effetti, mentre per la controparte si assiste al fenomeno contrario. È presto, dunque, per giungere a conclusioni definitive. Resta il fatto che l’operazione ha avuto un impatto molto negativo sulle comunicazioni dell’esercito ucraino. C’è da considerare che a livello cyber il conflitto non ha avuto ripercussioni solo sull’Ucraina, ma anche su altri paesi dell’Unione europea. Diversi gruppi Apt vicini al governo russo si sono focalizzati su attività mirate allo spionaggio e all’acquisizione di intelligence prendendo di mira diversi apparati governativi, soprattutto nei settori difesa e affari esterni.
Quali sono i gruppi cyber protagonisti e quali tecniche vengono utilizzate?
Ci sono diversi gruppi impegnati dall’inizio del conflitto. Fra quelli da includere nelle minacce vicine o controllate da organismi statuali russi vi sono, in modo non esaustivo, Apt28, Apt29, Turla, Sandworm e Gamaredon. Oltre a questi esistono altri gruppi, cosiddetti attivisti, fra i quali KillNet. Quest’ultimo è un collettivo che si sovrappone con il panorama criminale e persegue la causa politica russa. Nonostante gli attivisti abbiano degli scopi diversi rispetto al guadagno economico, sono attori che contribuiscono attivamente alle minacce del mondo cyber. Per quanto riguarda le tecniche più utilizzate possiamo segnalare gli attacchi (D) DoS (cioè attacchi che puntano a rendere irraggiungibili i siti o i servizi per colpiscono) per il gruppo KillNet. Per i gruppi di matrice statuale, invece, c’è stato un evidente cambio di rotta. Alcuni mesi prima dell’invasione almeno due gruppi hacker vicini al governo russo hanno introdotto operazioni mirate a compromettere dispositivi di rete perimetrali (firewall, router, concentratori, etc.) di diverse reti ucraine. Tali accessi, rimasti silenti sino al giorno dell’invasione, sono stati sfruttati per diffondere malware all’interno delle reti colpite. Qui la fase preparatoria alla cyber guerra appare più che mai evidente, oltre a suggerire che la manovra bellica fosse in programma già da tempo.
In Italia a che punto siamo con la sicurezza informatica nel settore energetico?
Non posso dire che la situazione sia fra le migliori. In una ricerca effettuata per una conferenza alla quale ho partecipato abbiamo rilevare una forte esposizione a livello di credenziali rubate e a livello di potenziali vie di accesso disponibili verso aziende operanti in tale settore. Queste informazioni potrebbero ovviamente essere acquisite e sfruttate da un criminale informatico. Tuttavia, il problema può essere esteso ad altri settori. La buona notizia è che l’Italia sta introducendo misure di contrasto e prevenzione allo scopo di mitigare questi rischi quanto meno nei settori strategici. Siamo comunque in ritardo rispetto ad altri paesi dell’Unione europea, come Francia o Germania.
Quali possono essere le ragioni che spingono a organizzare un attacco?
Ci sono diverse ragioni che potrebbero spingere a organizzare un attacco informatico. L’Italia è stata presa di mira più volte. Attacchi come quello alla San Carlo o alla regione Lazio avevano finalità estorsive e di guadagno economico. Tuttavia, le motivazioni possono comprendere anche la raccolta informativa a scopo di spionaggio, come quelle che hanno portato ad attacchi informatici contro diversi paesi dell’Unione europea, Italia compresa,
soprattutto a inizio 2022. Se le informazioni su un attacco ransomware sono pubblicamente disponibili e la stampa può raccogliere materiale facilmente, le azioni legate allo spionaggio digitale tendono a essere estremamente furtive. Non a caso il tempo medio che un’organizzazione impiega per scoprire di essere stata vittima di una compromissione a scopo di spionaggio è di sei-otto mesi.
Una vostra ricerca ha analizzato l’esposizione delle aziende del settore energetico alle minacce criminali.
Per uno dei miei talk abbiamo eseguito una ricerca, catalogando migliaia di indirizzi Ip di aziende del settore energetico sull’esposizione di queste ultime a minacce criminali. Ci siamo concentrati sulla valutazione della superficie di attacco, sulle informazioni disponibili riguardo decine di aziende di questo settore e sulle credenziali di accesso relative a esse disponibili sul darkweb. Nello specifico abbiamo preso in esame 25 aziende, oltre duemila indirizzi Ip, 253 vulnerabilità rilevate, fra le quali 147 con Cvss base score tra il 7 e il 10. Il 72% delle aziende risultava avere tra il Q2 e il Q3 del 2022, dati esposti nel dark web, mentre il 10% era affetto da infezioni botnet. Considerando i dati evidenziati, possiamo affermare che ci sono rischi per diverse realtà operanti nel settore energia. Tuttavia abbiamo già provveduto ad avvisare i diretti interessati informandoli del rischio.
Quali possono essere quindi le soluzioni al problema della sicurezza?
Non è facile rispondere considerando la vastità delle variabili. Sarebbe più facile se ci fossero dei casi precisi da prendere in esame. Sicuramente l’awareness sull’argomento aiuta moltissimo e riduce il rischio di cadere vittime di attacchi di ingegneria sociale. A livello generale, l’Italia ha attuato una serie di politiche che, unite a quelle dell’Unione europea, dettano linee generali di prevenzione, mitigazione e risposta agli attacchi informatici. Stiamo iniziando a costruire un sistema comune e a rafforzare le collaborazioni attorno a soggetti privati e istituzioni per un miglior scambio informativo. Secondo la mia opinione i passi sono quelli giusti ma ci vorrà del tempo prima che tutto questo venga messo a regime e inizi ad avere un impatto positivo sul settore.
Per altri contenuti iscriviti alla newsletter di Forbes.it CLICCANDO QUI .
Forbes.it è anche su WhatsApp: puoi iscriverti al canale CLICCANDO QUI .