Sabotaggio nell’ombra: come gli hacker legati all’Iran stanno trasformando le infrastrutture critiche in armi

Tutto è iniziato con un allarme ronzante nel cuore della sala di controllo di un impianto idrico: livelli di cloro che oscillavano senza preavviso, manometri che impazzivano. Quando gli investigatori hanno rintracciato la fonte, le impronte digitali indicavano un avversario noto: hacker legati all’Iran, oggi armati di strumenti più distruttivi e tattiche più audaci che mai. I confini tra guerra digitale e fisica si stanno sfumando, e le infrastrutture critiche del mondo sono il nuovo campo di battaglia.

La sofisticazione e l’intento delle operazioni cyber iraniane sono cambiati drasticamente negli ultimi mesi, secondo analisti di cybersecurity e agenzie federali. Gruppi sponsorizzati dallo Stato e hacktivist - un tempo soddisfatti di interruzioni di livello “disturbo” - stanno ora orchestrando attacchi progettati per infliggere danni nel mondo reale. Un esempio emblematico: l’impiego di malware di cancellazione dati contro il produttore di dispositivi medici Stryker, che ha eliminato dati da migliaia di dispositivi mobili e ha segnalato un inquietante salto di qualità nella capacità distruttiva.

Indagini recenti rivelano un modello di attacchi che prendono di mira controllori logici programmabili (PLC) e interfacce uomo-macchina nelle utility energetiche e idriche. In un caso di alto profilo, il malware ZionSiphon è stato scoperto all’interno di sistemi idrici israeliani, progettato per manomettere il dosaggio del cloro e i controlli di pressione - un attacco che avrebbe potuto avere gravi conseguenze per la salute pubblica. L’inserimento di messaggi pro-Iran e pro-palestinesi all’interno del malware ha aggiunto un livello psicologico all’assalto, sottolineando la natura ibrida della moderna guerra informatica.

I funzionari statunitensi hanno lanciato l’allarme: i gruppi legati all’Iran stanno sfruttando dispositivi esposti e configurati male nelle infrastrutture critiche, molti dei quali sono direttamente accessibili da internet pubblico. Queste vulnerabilità sono diffuse - indagini federali nel 2024 hanno trovato centinaia di siti idrici con sicurezza debole, e la maggior parte non dispone di risorse o formazione per difendersi da attacchi sofisticati. Il Dipartimento per la Sicurezza Interna, CISA e l’FBI hanno emesso avvisi congiunti, avvertendo che gli aggressori non puntano solo ai dati, ma mirano a manipolare sistemi fisici - potenzialmente causando interruzioni del servizio, danni alle apparecchiature o peggio.

Il manuale tecnico di questi hacker sta evolvendo. Gruppi come Cyber Av3ngers e Handala si stanno ora concentrando sull’ottenere accesso persistente ad ambienti cloud, aggirare l’autenticazione a più fattori e colpire software industriali ampiamente utilizzati come FactoryTalk di Rockwell Automation. Screenshot condivisi dai gruppi di minaccia suggeriscono che siano in grado di generare pass di accesso temporanei e muoversi lateralmente attraverso le reti, alzando la posta in gioco per i difensori.

Sebbene il governo degli Stati Uniti abbia risposto con nuove sanzioni e indicazioni rafforzate, l’enorme numero di sistemi vulnerabili - soprattutto nel settore idrico - fa sì che la minaccia sia tutt’altro che contenuta. I responsabili della sicurezza esortano le organizzazioni a rimuovere i dispositivi esposti su internet, imporre un’autenticazione robusta e fare regolarmente backup delle configurazioni industriali. Il messaggio è chiaro: nella nuova era del sabotaggio informatico, la compiacenza è il nemico.

Mentre i gruppi legati all’Iran affinano le loro tattiche e ampliano i bersagli, la domanda non è se, ma quando, un grande attacco alle infrastrutture avrà conseguenze nel mondo reale. Il perimetro digitale si sta dissolvendo, e le linee vitali critiche del mondo sono ora nel mirino. Per i difensori, vigilanza e modernizzazione non sono più opzionali: sono questioni di sicurezza nazionale.

TECHCROOK

Per ridurre il rischio di accessi remoti abusivi e aggiramenti dell’MFA nelle reti che gestiscono impianti e servizi essenziali, una misura concreta è introdurre una chiave di sicurezza hardware. YubiKey 5 NFC è un token FIDO2/WebAuthn e U2F che abilita autenticazione forte “phishing-resistant” per account e console di amministrazione, limitando l’efficacia di credenziali rubate e session hijacking. Supporta anche smart card (PIV) e OTP, è compatibile con Windows, macOS e Linux e funziona via USB-A con opzione NFC per smartphone. In contesti OT/ICS aiuta a proteggere accessi privilegiati e strumenti di accesso remoto, riducendo la superficie d’attacco dei sistemi esposti. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

• Dati: I dati sono informazioni - come testo, numeri o immagini - archiviate ed elaborate dai computer. La sicurezza data-centric protegge direttamente queste informazioni, ovunque risiedano.
• Controllore logico programmabile (PLC): Un controllore logico programmabile (PLC) è un computer specializzato che automatizza e controlla processi industriali in fabbriche, utility e infrastrutture.
• Interfaccia uomo-macchina (HMI): Un’HMI è un software che consente agli utenti di interagire visivamente con e controllare macchine o processi industriali, spesso tramite touchscreen o display grafici.
• Autenticazione a più fattori (MFA): L’autenticazione a più fattori (MFA) è un metodo di sicurezza che richiede agli utenti di fornire due o più prove d’identità prima di accedere a un account.
• Minaccia avanzata persistente (APT): Una minaccia avanzata persistente (APT) è un attacco informatico prolungato e mirato condotto da gruppi esperti, spesso sostenuti da Stati, con l’obiettivo di rubare dati o interrompere le operazioni.