Le reti elettriche sono indubbiamente parte delle infrastrutture strategiche che ogni nazione deve difendere. A maggior ragione se si tiene in considerazione che il problema degli attacchi hacker negli ultimi anni ha raggiunto un livello di criticità pari a quello delle catastrofi naturali per questo settore.

Oggi le reti elettriche sono intelligenti e connesse di conseguenza un guasto in un punto causa problemi diffusi invece che localizzati.
Inoltre anche le città sono sempre più dotate di apparecchiature IoT e questo aumenta la dipendenza che i servizi, anche quelli essenziali, hanno dalle forniture elettriche.

attacchi informatici rete elettrica

Di conseguenza le operazioni criminali cibernetiche possono tenere sotto scacco zone anche molto ampie, se un attacco va a segno.
Oggi vi racconteremo quali sono le sfide e gli elementi di complessità nella difesa degli impianti, quali siano le strategie degli hacker e forniremo un riepilogo degli attacchi di questo tipo negli ultimi dieci anni.

  1. Motivazioni dietro agli attacchi alle reti elettriche
  2. Conseguenze degli attacchi contro le reti elettriche
  3. Fattori di rischio e sfide
  4. Tipologie di attacco più frequenti
  5. Attacchi ale reti elettriche negli ultimi 10 anni
  6. Commenti conclusivi

Motivazioni dietro gli attacchi

Gli attacchi che colpiscono le infrastrutture critiche come le reti di trasporto dell’energia elettrica solitamente sono o strumenti per guadagnare molto o sono parte di una attacco in ambito di guerra cibernetica. Nel primo caso, più è critica l’infrastruttura più fretta ci sarà di riportarla nelle suo condizioni operative ottimali. Di conseguenza sarà più facile che chi lo amministra sia disposto a scendere a patti con l’aggressore, ergo a sborsare cifre astronomiche. Nel secondo caso, l’obiettivo è semplicemente destabilizzare lo stato nemico attraverso l’interruzione di alcuni servizi essenziali. In questo caso normalmente gli attacchi sono portati avanti da reparti militari specializzati o comunque gruppi state sponsored.

Conseguenze degli attacchi

Provate ad immaginare per un attimo la vostra città improvvisamente senza corrente elettrica. Ci sarebbero strade buie senza semafori, le attività serali sarebbero interdette, non funzionerebbero computer, ne telefoni, quindi non potreste sentire i vostri amici e i vostri parenti e per molti di voi sarebbe impossibile lavorare. I negozi sarebbero al buio, impossibili i pagamenti telematici e i prelevamenti al bancomat, le industrie sarebbero costrette a fermarsi ma anche gli ospedali dovrebbero cavarsela senza molte apparecchiature, ad esempio quelle delle terapie intensive. Le pompe dell’acqua elettriche sarebbero fuori uso, a meno di non essere collegate ad un generatore di emergenza. Le operazioni governative, e di pubblica amministrazione sarebbero gravemente compromesse. Insomma uno scenario da far venire i brividi in cui persino le unità di emergenza, avrebbero operatività limitata.

Se supponiamo che questo caos si estenda oltre ad un città su una zona ben più ampia e per tempi superiori a qualche ora non è difficile immaginare che la sicurezza nazionale sarebbe a rischio insieme con la vita di molte persone.

Fattori di rischio e sfide per il settore energetico

Ci sono tre condizioni necessarie perché un attacco informatico abbia successo e sono: opportunità, capacità e motivazione.
Dal momento che, il clima internazionale teso offre una buona motivazione, le innumerevoli vulnerabilità offrono una buona occasione e le capacità degli hacker di portare a termine attacchi sofisticati crescono continuamente, ci possiamo aspettare che nel futuro prossimo il numero di attacchi riusciti cresca vertiginosamente. Per evitare che ciò succede occorre mettere in atto misure specifiche, pensate per il settore particolare che mirino alla creazione di reti resilienti che siano in grado di recuperare velocemente e limitare i danni di un attacco informatico.

Reti obsolete

Le reti di trasporto ad alta tensione devono essere progettate con un approccio di security by design oltre ad essere in grado di adattarsi all’evoluzione delle tecnologie. E’ evidente che una nazione ha migliaia di chilometri di cablature per il trasporto elettrico, che non possono essere sostituite in toto ogni qualvolta una nuova tecnologia più sicura viene sviluppata. Sia per un fatto di costo e di tempi tecnici che di continuità operativa le reti sono progettate per durare anche più di 50 anni. Il che ad oggi fa si che siano presenti alcune vulnerabilità decennali innestate con sistemi ultramoderni. E’ di pochi giorni fa la notizia che Terna, nel suo nuovo piano decennale ha previsto di potenziare le reti italiane, realizzando degli impianti nuovi che possano sostituire quelli più vecchi e critici da punto di vista della sicurezza.

Superficie di attacco vasta

Un rischio particolare per le reti elettriche segue la vastità dell’infrastruttura: questa devono raggiungere ogni parte del paese ed è quindi geograficamente dislocata ed enorme. Questo offre una lunghissima seri di end-point che potrebbero essere presi di mira. L’aumento dell’energia proveniente da fonti rinnovabili e della poligenerazione fanno si che la rete elettrica sia sempre più decentralizzata. Non abbiamo più pochi centri in cui viene prodotta gran parte dell’energia ma molti centri più piccoli sparsi nel territorio.

Pochi fondi dedicati

Le società energetiche hanno una spesa dedicata alla sicurezza informatica che è mediamente il 5% del loro budget IT, secondo l’ultimo rapporto ENISA. Questo dato è inferiore di quasi due punti percentuali rispetto ad altre infrastrutture critiche come gli istituti finanziari e sanitari. Inoltre le società del settore lamentano una grande difficoltà nel trovare personale qualificato che possa occuparsi dell’irrobustimento delle difese.

Una catena di approvvigionamento complessa

L’esistenza di piccoli impianti aumenta anche il numero degli skateholder coinvolti. Quindi l’impatto della digitalizzazione del settore energetico deve coinvolgere tutta la filiera, dalla produzione, al trasporto, dallo stoccaggio, alla distribuzione, alla vendita. La sicurezza degli impianti al giorno d’oggi deve integrare la componente fisica con quella di difesa dal rischio cyber (zero-trust, cyber risk managment).

Internet of Things

I dispositivi IoT crescono in numero di un 23% annuo e con essi la complessità nella gestione delle reti elettriche. Gli attacchi ai dispositivi intelligenti infatti, possono creare affetti a cascata e arrivare a coinvolgere i servizi energetici.

Reti ipertecnologiche

Le reti elettriche di ultima generazione sfruttano tutti i ritrovati tecnologici possibili. Dal controllo decentralizzato, al monitoraggio da remoto che permette di regolare alcune impostazioni in tempo reale, alle opzioni per l’analisi dati. Tutte queste connessioni, che in futuro permetteranno lo scambio di informazioni utili anche con le città intelligenti, espongono però l’infrastruttura a dei rischi ulteriori.

cyberattack general eletric

Tipologie di attacco più frequenti

Ci sono dei gruppi hacker (ad esempio SandWorm e Dragonfly) che hanno fatto degli attacchi alle reti elettriche la loro missione e hanno sviluppato dei malware specifici, ideati con il solo scopo di compormettere le reti elettriche. Tra questi ricordiamo Industroyer anche detto Crashoverride, BalckEnergy, Harvex. Per quanto riguarda le tecniche che sono maggiormente utilizzate in questi attacchi troviamo:

Attacchi alle reti elettriche degli ultimi 10 anni

Nell’ultimo decennio le reti elettriche sono state prese di mira più e più volte. Dal punto di vista geografico, gli hacker, che molto spesso erano sponsorizzati dallo stato di appartenenza non hanno risparmiato nessuno.

Attacchi alle reti Indiane 2022

Ad Aprile dello scorso anno gli esperti di cybersecurity dell’Insikt Group hanno annunciato di aver rilevato attacchi informatici nei confronti di ben sette diversi centri di distribuzione della potenza elettrica Indiana. Questi centri si occupano della gestione in tempo reale della rete e della distribuzione dell’energia nelle diverse aree. Si suppone che gli hacker siano Cinesi e supportati dal ministero della sicurezza del loro paese, infatti il trojan che è stato utilizzato ShadowPad è riconducibile ad un gruppo Cinese. Inoltre tutti e sette i centri sotto attacco si trovano nella regione di Ladakh, una zona di confine che è stata a lungo contensa tra le due potenze.

Il veicolo che ha permesso l’intrusione sarebbe stato l’utilizzo di credenziali di default per delle telecamere collegate alla rete internet. Dal momento che gli attacchi sono stati molteplici in serie ravvicinata si suppone che lo scopo principale fosse lo spionaggio delle infrastrutture critiche e non il danneggiamento diretto.

Attacco alle reti Ucraine 2022

Sempre negli stessi giorni, agli esordi della guerra Russia-ucraina un massiccio attacco hacker è stato scagliato contro la rete elettrica nazionale. Grazie alla collaborazione degli esperti ucraini con le società ESET e Microsoft, l’attacco è stato sventato. Gli aggressori hanno cercato di utilizzare Industryer2 l’evoluzione del malware che nel 2016 lasciò senza elettricità molte famiglie di Kiev, abbinandolo con Wiper e CaddyWiper2. In questo caso i malintenzionati avevano preso di mira alcuni computer, diverse sottostazioni di alta tensione e dei server collegati. L’obiettivo  dei Russi di Sandworm era prendere il controllo da remoto delle infrastrutture fornitrici di energia elettrica, come parte di un attacco ibrido che mirava a indebolire la popolazione in vista di uno scontro armato

Attacco alle reti Europee 2020

Agli inizi della pandemia da covid-19 un altro virus ha cercato di mettere ko le distribuzioni elettriche europee. La rete europea ENTSO-E, che unisce 42 operatori in 35 nazioni europee ha subito un attacco a partire dal 9 marzo 2020. Sembra che l’intrusione si sia limitata ai sistemi IT e non abbia impattato sui sistemi di controllo critici. Non è stato possibile capire chi si celasse dietro questa intrusione ma questo ha dato una spinta per un’ulteriore rafforzamento delle difese delle reti elettriche comunitarie.

Attacco alle reti Russe 2019

Nell’anno precedente è stata la volta delle reti elettriche Russe. Sembra che un malware di produzione statunitense abbia messo a segno un’intrusione. La stampa americana rivendicò l’atto come un segnale di risposta alle campagne di fake news russe durante le elezioni di metà mandato del 2018 e quindi come una sorta di esibizione della propria potenza informatica nei confronti dei potenziali aggressori.

Attacchi alle reti Tedesche 2017-2018

Kamacite, uno dei gruppi hacker maggiormente dedito agli attacchi alle infrastrutture critiche si rese responsabile tra il 2017 e il 2018 di alcuni attacchi contro la distribuzione elettrica tedesca. I veicoli di infezione sono state delle normali e-mail di spear-phishing contenenti un allegato malevolo. In particolare si trattava di un payload con un malware che permise l’accesso ad alcuni servizi cloud e alle reti private virtuali. A questo punto hanno utilizzato dei tool specifici per rubare le credenziali e ottenere l’accesso a dati sensibili.

Attacco alle reti Ucraine 2015

Tra il 2015 e il 2016 sempre l’Ucraina fu il teatro di un’incidente informatico alle reti elettriche che lascio oltre 200.000 famiglie senza corrente per diverse ore. Anche in quel caso la matrice era Russa.

Commenti conclusivi

Come abbiamo visto la realtà gestionale delle reti elettriche è complessa e piena di sfaccettature, ogni dispositivo elettronico è potenzialmente un punto di accesso per la compromissione del sistema. Le conseguenze di un attacco possono essere devastanti, compromettendo la sicurezza nazionale e mettendo a repentaglio molte vite umane. La notizia positiva è che i governi si stanno muovendo per innalzare i livelli di sicurezza nazionali e le reti elettriche sono certamente tra le infrastrutture più critiche e che maggiormente beneficeranno di questi interventi. Dal punto di vista italiano, pochi giorni fa è stato presentato il nuovo piano decennale di Terna che prevede interventi di ammodernamento e messa in sicurezza delle strutture e anche il piano di implementazione quadriennale delle strategie di cybersecurity nazionale darà il loro contributo rilevante.