In poco più di 10 giorni si sono verificati 3 attacchi hacker verso sistemi informatici di aziende italiane che si occupano di energia.

Un caso o azioni mirate di una strategia di offesa di una guerra tra Russia e Ucraina che si svolge anche attraverso la rete? 

Gli hacker russi dietro l’attacco alla GSE, Gestore dei servizi energetici italiani

La prima vittima di questi attacchi è stata la GSE – gestore dei servizi energetici, società italiana per azioni e partecipata dal Ministero dell’economia e delle finanze. È la notte tra il 28 e il 29 Agosto quando la GSE subisce un potente attacco informatico. Un malware, definito di ultima generazione, colpisce e compromette la rete, il client, il server dei file e dei sistemi di posta elettronica e le infrastrutture degli applicativi, rendendo inagibili il sito e i portali della GSE. 

Per evitare maggiori danni e permettere le verifiche necessarie, i sistemi telematici vengono disattivati e le infrastrutture isolate; una “modalità offline” che si protrarrà anche nei giorni successivi, procurando non pochi disagi. I primi giorni l’autore dell’attacco è ancora sconosciuto, bisognerà attendere il 2 Settembre per avere una firma, quel giorno infatti l’hackeraggio verrà rivendicato dalla gang ransomware Blackcat/ALPHV, già autrice dell’attacco all’Università di Pisa, e soprattutto russa, elemento che non può essere sottovalutato. Ricordiamo, a proposito, che Blackcat dall’inizio di quest’anno ha hackerato la Creos Luxembourg, azienda di gasdotti e reti elettriche dell’Europa centrale, e l’azienda tedesca di fornitura di benzina Oiltanking.

Il binomio hacker russi contro aziende energetiche europee non è dunque casuale. 

Come nei loro colpi precedenti, anche in questo caso il bottino che si portano via è cospicuo: alla GSE vengono esfiltrati circa 700 gigabyte di dati, tra cui informazioni personali, credenziali, documentazione interna, report e progetti. Ma agendo tramite ransomware, gli hacker di Blackcat non si sono fermati qui, e per evitare la pubblicazione delle informazioni sottratte, hanno chiesto il pagamento del riscatto. Messaggio di richiesta che dal leak site di Blackcat l’8 Settembre era scomparso, e che ha fatto sorgere la domanda: il riscatto è stato pagato?

Atri attacchi hacker: Eni e Canarbino Spa i bersagli

Un attacco che non rimase isolato: qualche giorno più tardi, il 31 Agosto, i sistemi informatici di Eni e, agli inizi di Settembre, dell’impresa Canarbino S.p.a – importante impresa del settore energetico italiano, vennero attaccati da hacker cui rimane tuttora ignota l’identità. Rispetto all’hackeraggio subito da GSE, questi due non hanno riportato danni troppo gravi. Per quanto riguarda l’Eni si è trattato di accessi anomali e non autorizzati alla propria rete aziendale, tentativi su cui sta indagando la Polizia Postale e la Procura di Roma, e che hanno procurato conseguenze di lieve entità. Pericolo scampato, almeno per questa occasione, per l’Eni. A inizio di Settembre è invece stata la volta della ditta energetica Canarbino di Sarzana (La Spezia), colpita probabilmente da un ransomware, ma che grazie ai sistemi di protezione è stato bloccato immediatamente, evitando così l’insorgere di danni sostanziali, disservizi o la sottrazione di dati. 

L’energia al centro del conflitto cibernetico

Sebbene per questi ultimi due attacchi “l’autore” non sia ancora stato svelato, è alta la probabilità che la matrice sia russa o filorussa. D’altronde questi mesi ci hanno dato prova di come si sviluppa il conflitto cibernetico.  Una delle conseguenze peggiori che potrebbero manifestarsi dagli attacchi contro infrastrutture che si occupano di energia, sarebbe l’interruzione dei sistemi e la compromissione degli impianti che forniscono energia, ma questa opzione raramente si verifica. Le bande hacker sono principalmente interessate a danneggiare i sistemi informatici in modo da metterli fuori uso e impedire all’impresa hackerata pratiche di ordinaria amministrazione che avvengono tramite la rete, oltre che rubare informazioni e così agevolare possibili futuri hackeraggi. Ricordiamo che da quando è iniziato il conflitto tra Russia e Ucraina gli attacchi contro l’Italia sono aumentati, ma il fatto che siano stati presi di mira, e un brevissimo tempo, servizi che si occupano di energia ha portato l’Agenzia per la cybersicurezza nazionale a riunirsi il 2 Settembre per divulgare raccomandazioniper innalzare i livelli di protezione delle infrastrutture digitali degli operatori energetici, e adeguarlecostantemente alle più recenti informazioni sulla minacce.