Nel mirino degli hacker l’infrastruttura più sensibile del nostro Paese. Cerchiamo di capire cosa è accaduto e cosa potrebbe attenderci nelle prossime settimane
L’attacco informatico che ha colpito il colosso ENI sta catalizzando l’attenzione dei media e sta alimentando un acceso dibattito sul reale livello di sicurezza delle infrastrutture critiche nazionali. Il settore energetico nazionale, così come quello dell’intera Europa, è sotto incessante attacco. La notizia dell’attacco a ENI giunge a pochi giorni da quella dell’intrusione nei sistemi del Gestore dei Servizi Energetici (GSE). Cerchiamo di capire cosa è accaduto e cosa attenderci nelle prossime settimane.
“È auspicabile che i programmi elettorali considerino l’importanza di innalzare il livello di sicurezza cibernetica dell’intero Paese”
Si tratta di azioni coordinate?
Le informazioni pubblicamente disponibili sugli attacchi suggeriscono che in entrambi i casi si sia trattato di infezioni ransomware. Nulla, tuttavia, è possibile dire su eventuali collegamenti tra gli attacchi, ne tantomeno sull’attribuzione degli stessi ad attori nation-state piuttosto che gang criminali. Nella giornata di mercoledì 31 agosto il colosso petrolifero italiano ENI ha annunciato un attacco informatico alla sua infrastruttura, precisando che lo stesso ha inflitto solo pochi danni.
“Attacchi contro un’azienda del settore energetico potrebbero avere un impatto drammatico sull’intera catena di approvvigionamento con conseguente ricaduta sul prezzo dell’energia per i cittadini”
I disservizi descritti dai comunicati stampa, così come alcune testimonianze da fonti citate da testate come Bloomberg suggeriscono che ci si trovi dinanzi ad un attacco ransomware. “ENI conferma che i sistemi di protezione interni hanno rilevato negli ultimi giorni accessi non autorizzati alla rete aziendale” ha dichiarato a Bloomberg News un portavoce della compagnia. Nel caso dell’attacco al Gestore dei servizi energetici italiano (GSE), società partecipata interamente dal Ministero Economia e Finanze (MEF), i disservizi sono evidenti, come l’indisponibilità del sito internet che perdura da giorni.
“I disservizi descritti dai comunicati stampa, così come alcune testimonianze citate da Bloomberg suggeriscono che ci si trovi dinanzi a un attacco ransomware”
Quando si sospetta il coinvolgimento di un ransomware la prima cosa da fare è monitorare i leak site dei principali gruppi, ovvero quei siti utilizzati per annunciare l’attacco e pubblicare un esempio dei dati trafugati alle vittime con l’intento di metter loro pressione ed indurli a pagare il riscatto. Al momento né GSE né ENI sono state aggiunte alle liste delle principali gang ransomware e questo potrebbe avere diverse spiegazioni, dal fatto che non siano stati trafugate informazioni alla presenza di una negoziazione in corso.
ENI e GSE colpiti da attacchi ransomware?
Abbiamo ipotizzato che in entrambi i casi si sia trattato di attacchi ransomware, e in caso di conferma andrebbero investigate le ragioni che hanno portato alla compromissione dei sistemi di queste aziende. Un attacco ransomware spesso ha conseguenze importanti sulle operazioni delle vittime così come sulla sua reputazione. Non di rado, ci si trova dinanzi ad aziende costrette ad interrompere l’erogazione di servizi e le informazioni trafugate, se divulgate, hanno avere un impatto sull’azienda e sull’intera filiera cui appartengono.
Altro aspetto su cui occorre riflettere è la motivazione degli attori malevoli dietro questi attacchi. Il fatto che potrebbero esser attacchi ransomware non implica necessariamente che si tratti di operazioni condotte dal crimine informatico. Diversi attori nation state utilizzano ransomware per autofinanziarsi e per rendere complessa l’attribuzione. Non solo, a complicare lo scenario è la sovrapposizione che spesso si osserva tra gruppi criminali ed attori che operano per conto di governi. Proprio in occasione del recente conflitto in Ucraina, alcune gang criminali hanno dichiarato pieno sostegno a Mosca rendendo complessa l’analisi dello scenario del corrente conflitto. Un’operazione condotta da un gruppo criminale, vicino a uno Stato, non può essere attribuita allo Stato stesso, che quindi non può essere sanzionato dalla comunità mondiale. Questo scenario è diventato frequente negli ultimi mesi e le ripercussioni sono gli occhi di tutti.
Cosa attendersi nei prossimi mesi?
In questo momento storico qualunque interferenza sulle operazioni di operatori energetici nazionali potrebbe avere gravissime ripercussioni su uno Stato, e per questo motivo rappresenta un potenziale obiettivo di un governo ostile. Attacchi contro un’azienda del settore energetico potrebbero avere un impatto drammatico sull’intera catena di approvvigionamento con conseguente ricaduta sul prezzo dell’energia per i cittadini. Il caso dell’attacco a Colonial Pipeline lo scorso anno ha dimostrato la fragilità dell’intero settore energetico americano.
“Alcune gang criminali hanno dichiarato pieno sostegno a Mosca rendendo complessa l’analisi dello scenario del corrente conflitto”
I potenziali effetti di simili attacchi dovrebbero essere spiegati dapprima a chi ci governa e ovviamente ai cittadini. È auspicabile che i programmi elettorali considerino l’importanza di innalzare il livello di sicurezza cibernetica dell’intero Paese, diversamente rischiamo di tornare indietro di un secolo a seguito di un attacco ben orchestrato contro le nostre infrastrutture critiche.
