Il mondo della cybersecurity industriale ha assistito a un esperimento tanto rischioso quanto illuminante quando ricercatori specializzati in sicurezza informatica hanno allestito una trappola digitale perfetta: un impianto di trattamento acque completamente fittizio ma tecnicamente identico a quelli reali. L'obiettivo era studiare da vicino le tecniche di attacco ai sistemi di controllo industriale, ma quello che hanno scoperto ha superato ogni aspettativa. In meno di 26 ore, un gruppo di hacker filorussi è riuscito a penetrare nel sistema e a causare danni che, in un impianto reale, avrebbero potuto compromettere la fornitura idrica di intere comunità.
L'evoluzione pericolosa di TwoNet
Quello che rende questo caso particolarmente preoccupante è l'identità degli attaccanti: il gruppo TwoNet, originariamente specializzato in attacchi DDoS di matrice politica contro enti che supportavano l'Ucraina. I ricercatori di Forescout, l'azienda che ha orchestrato questa operazione di monitoraggio, hanno documentato una trasformazione inquietante: in meno di dodici mesi, questi hacktivist sono passati dal semplice sovraccarico di server web all'infiltrazione di infrastrutture critiche. Sul loro canale Telegram, il gruppo pubblicizza apertamente servizi criminali che vanno dal ransomware-as-a-service agli accessi iniziali ai sistemi SCADA polacchi.
La strategia di TwoNet rivela una comprensione sempre più sofisticata dei sistemi industriali. Durante l'attacco all'impianto fittizio, avvenuto a settembre, gli hacker hanno dimostrato di conoscere le specifiche tecniche dei database industriali e delle interfacce di controllo, riuscendo al secondo tentativo a enumerare correttamente i sistemi usando query SQL appropriate.
Anatomia di un attacco alle infrastrutture
L'intrusione è iniziata alle 8:22 del mattino con il classico tentativo di credenziali predefinite, una tecnica tanto semplice quanto efficace. Una volta ottenuto l'accesso iniziale, gli attaccanti hanno creato un account utente denominato "Barlati" e hanno sfruttato una vulnerabilità XSS datata 2021 per annunciare la propria presenza attraverso un pop-up provocatorio nell'interfaccia operatore. Tuttavia, il vero pericolo si è manifestato nelle azioni successive: la rimozione dei controllori logici programmabili dalla lista delle fonti dati e la modifica dei parametri di controllo del sistema.
I ricercatori hanno osservato come gli hacker si siano concentrati esclusivamente sul livello applicativo dell'interfaccia web, evitando tentativi di escalation di privilegi o exploit del sistema host sottostante. Questa scelta tattica suggerisce una strategia mirata specificamente ai sistemi di controllo industriale, piuttosto che una generica compromissione informatica.
Il nuovo panorama delle minacce industriali
L'ultima attività registrata degli intrusi è avvenuta il giorno successivo alle 11:19, ma l'impatto dell'esperimento va ben oltre le 26 ore di osservazione. L'analisi del canale Telegram di TwoNet ha rivelato una strategia coordinata di attacchi alle interfacce HMI e SCADA di organizzazioni in quelli che definiscono "paesi nemici". Il gruppo ha inoltre pubblicato dati personali di agenti di intelligence e forze dell'ordine, configurandosi come un collettivo criminale a tutto tondo piuttosto che come semplici attivisti digitali.
Questo pattern evolutivo non è isolato: sempre più gruppi hacktivisti stanno abbandonando le tradizionali operazioni di negazione del servizio per orientarsi verso obiettivi industriali e infrastrutturali. La trasformazione riflette una comprensione crescente del fatto che i sistemi OT e ICS rappresentano bersagli più strategici e impattanti rispetto ai semplici siti web aziendali.
Contromisure per un rischio reale
Le raccomandazioni degli esperti di Forescout si concentrano su tre pilastri fondamentali: autenticazione robusta, segmentazione di rete e monitoraggio protocollare specifico. La prima linea di difesa consiste nell'evitare l'esposizione diretta dei sistemi industriali al web pubblico e nell'implementare controlli di accesso basati su IP per le interfacce amministrative. La segmentazione appropriata della rete produttiva può contenere eventuali intrusioni anche in caso di compromissione della rete aziendale principale.
Il monitoraggio protocollare rappresenta l'elemento più sofisticato: sistemi di rilevamento specifici per i protocolli industriali possono identificare tentativi di exploit e modifiche non autorizzate alle interfacce HMI. Questa capacità di detection risulta cruciale considerando la rapidità con cui gruppi come TwoNet riescono a passare dall'accesso iniziale all'azione distruttiva vera e propria.
