Netcrook Logo
👤 AGONY
🗓️ 18 Feb 2026   🌍 Europe

Venti di sabotaggio: come la rete elettrica verde della Polonia ha evitato la catastrofe

Un cyberattacco fallito ma sofisticato contro i parchi eolici e solari della Polonia segnala una nuova era della guerra energetica - e un campanello d’allarme per le infrastrutture globali.

In una gelida notte di dicembre, mentre le tempeste di neve flagellavano la Polonia e le famiglie si stringevano in casa, un incendio digitale divampava invisibile lungo la spina dorsale delle energie rinnovabili del Paese. All’alba, più di 30 parchi eolici e solari, un’azienda manifatturiera e una centrale di teleriscaldamento e produzione elettrica erano stati presi di mira da una distruttiva offensiva informatica. Le luci sono rimaste accese, ma il messaggio era chiaro: l’era degli attacchi all’energia verde è arrivata.

Dati rapidi

  • Gli aggressori hanno colpito oltre 30 siti energetici decentralizzati in Polonia il 29–30 dicembre 2025.
  • Un malware distruttivo di tipo “wiper” ha preso di mira impianti eolici, solari e strutture industriali.
  • Funzionari polacchi ed esperti di sicurezza indicano gruppi legati alla Russia come Sandworm/Electrum.
  • Gli aggressori hanno sfruttato credenziali predefinite dei dispositivi e sistemi vulnerabili esposti su Internet.
  • Nonostante gravi disservizi, non si sono verificati blackout significativi - questa volta.

Dentro l’attacco: anatomia di uno scampato pericolo

L’attacco di dicembre ha segnato un primato inquietante: un colpo coordinato contro le risorse energetiche decentralizzate (DER) - le turbine eoliche e i parchi solari che alimentano sempre più le reti moderne. Secondo CERT Polka, la campagna distruttiva si è sviluppata mentre la Polonia affrontava condizioni invernali estreme, amplificando il potenziale di disastro. Gli aggressori, usando malware “wiper”, miravano a paralizzare le remote terminal unit e le interfacce uomo-macchina, cancellando dati e recidendo la capacità degli operatori di monitorare o controllare il flusso di energia.

L’accesso iniziale è stato ottenuto tramite dispositivi esposti su Internet e protetti in modo inadeguato - nello specifico, quelli lasciati con password predefinite. Una volta dentro, gli aggressori hanno distribuito i loro payload distruttivi, causando una diffusa perdita di visibilità e controllo. Eppure, l’energia ha continuato a fluire. Gli esperti dicono che la fortuna ha avuto un ruolo: in Polonia, le rinnovabili rappresentano una fetta più piccola della rete nazionale rispetto ad alcuni Paesi, limitando l’impatto immediato.

Chi c’era dietro? Le evidenze puntano a un intreccio di gruppi legati alla Russia, in particolare Electrum e Sandworm, noti per operazioni sofisticate contro infrastrutture critiche. Il fornitore di cybersecurity industriale Dragos ha riferito che Electrum, lavorando con Kamicite - focalizzato sulla ricognizione - ha affinato un copione per colpire l’operational technology in tutto il mondo, sfumando il confine tra i tradizionali attacchi IT e quelli in grado di interrompere servizi nel mondo reale.

Per ora, gli aggressori si sono fermati prima di innescare blackout o di far funzionare in modo errato la rete sul piano fisico. Ma, come ha avvertito il CEO di Dragos Robert Lee, se questo stesso stile di attacco avesse colpito un Paese con una maggiore dipendenza dalle rinnovabili - pensiamo ai Paesi nordici o a parti degli Stati Uniti - l’esito avrebbe potuto essere catastrofico, propagandosi a cascata nel sistema elettrico con risultati devastanti.

Lezioni per il futuro: colmare le lacune

L’incidente polacco è un severo avvertimento per gli operatori di infrastrutture critiche ovunque. Come ha osservato la Cybersecurity and Infrastructure Security Agency (CISA), semplici negligenze - come non cambiare le password predefinite - possono aprire la porta ad aggressori sponsorizzati da Stati. Le raccomandazioni sono chiare: imporre un’autenticazione forte, segmentare le reti operative e quelle IT, verificare l’integrità del firmware e predisporre piani di risposta agli incidenti che diano per scontato che i dispositivi sul campo possano essere compromessi.

Mentre il mondo vira verso l’energia verde, questi attacchi mettono in luce una nuova frontiera vulnerabile. La rete potrebbe aver superato questa tempesta, ma il prossimo assalto potrebbe essere molto più costoso. Per chi difende, la lezione è semplice: non aspettare che si spengano le luci prima di rafforzare le difese digitali.

WIKICROOK

  • Risorse energetiche decentralizzate (DER): le DER sono piccole fonti di energia distribuite - come pannelli solari o turbine eoliche - spesso collegate alla rete, e presentano considerazioni di cybersecurity specifiche.
  • Malware wiper: il malware wiper è un software malevolo che elimina o corrompe in modo permanente i file, rendendo impossibile il ripristino e causando gravi perdite di dati o interruzioni di sistema.
  • Remote Terminal Unit (RTU): una RTU raccoglie dati dai sensori e invia comandi di controllo nelle reti dei servizi di pubblica utilità, consentendo il monitoraggio e il controllo da remoto dei sistemi di infrastrutture critiche.
  • Operational Technology (OT): l’Operational Technology (OT) include i sistemi informatici che controllano apparecchiature e processi industriali, spesso rendendoli più vulnerabili dei tradizionali sistemi IT.
  • Credenziali predefinite: le credenziali predefinite sono nomi utente e password impostati di fabbrica su dispositivi o software, spesso lasciati invariati e facilmente indovinabili dagli aggressori, con conseguenti rischi per la sicurezza.
Cyberattack Renewable Energy Poland
AGONY AGONY
Elite Offensive Security Commander
← Back to news