È il 23 dicembre 2015. Nelle regioni di Ivano-Frankivsk e Prykarpattyaoblenergo, nell'Ucraina occidentale, le temperature notturne sono abbondantemente sottozero. Alle 15:35 ora locale, le luci si spengono. Non gradualmente, come in un guasto tecnico normale. Di colpo e simultaneamente. In 30 sottostazioni diverse. 230.000 persone piombano nel buio. Il riscaldamento si ferma. Gli ospedali passano ai generatori. I telefoni delle società elettriche sono inutilizzabili, sono stati bloccati appositamente, inondati da chiamate false. Non c'era stata nessuna tempesta, nessun guasto tecnico. Qualcuno aveva semplicemente deciso di spegnere la luce.
L'Unità 74455: il gruppo che nessuno nomina
Quando le indagini si conclusero, il responsabile aveva un nome in codice: Sandworm. Un gruppo di hacker attribuito all'Unità 74455 dell'intelligence militare russa, il GRU, la stessa agenzia che gestiva, tra le altre cose, le operazioni di disinformazione internazionale. Ufficialmente, la Russia ha sempre negato qualsiasi coinvolgimento. Nessuna dichiarazione di guerra. Nessuna rivendicazione. Come sempre in questa guerra invisibile.
Ma per gli analisti che smontarono il malware utilizzato, BlackEnergy, le tracce erano inequivocabili. BlackEnergy era già noto: era stato usato da Sandworm in attacchi precedenti contro strutture governative ucraine e aziende NATO. Ma questa era la prima volta che veniva impiegato contro sistemi SCADA dell'infrastruttura elettrica, con l'obiettivo esplicito di causare un blackout fisico.
Come si entra in una centrale elettrica senza muoversi dal divano
La domanda che i tecnici si posero dopo l'attacco fu: come avevano fatto? Un sistema di controllo SCADA che regola le sottostazioni elettriche non è direttamente accessibile da Internet. Ha protezioni. Ha firewall. Ha accessi limitati.
La risposta era nella supply chain e nello spear phishing: e-mail mirate, confezionate ad arte, inviate ai dipendenti delle aziende elettriche ucraine mesi prima dell'attacco. Qualcuno aprì un allegato. Qualcuno inserì le proprie credenziali su una pagina di login contraffatta. E a quel punto Sandworm era dentro, non nella rete OT, ma in quell’ufficio.
Da lì, con pazienza certosina, si mossero lateralmente: da un computer all'altro, da una rete all'altra, finché non trovarono il percorso verso i sistemi di controllo industriale. Un viaggio che richiese mesi. Poi aspettarono il momento giusto: il periodo natalizio, quando i tecnici sono ridotti, le guardie sono abbassate, la reazione sarebbe stata più lenta.
Dicembre 2016: ci riprovano, con armi migliori
Un anno dopo, Sandworm tornò. Questa volta armata di Industroyer, anche noto come CrashOverride, un malware di nuova generazione che rappresentava un salto qualitativo senza precedenti.
Industroyer non aveva bisogno di un operatore umano che aprisse manualmente i circuit breaker, come nell'attacco del 2015. Era progettato per comunicare direttamente con i protocolli industriali delle sottostazioni elettriche, IEC 101, IEC 104, IEC 61850, lo stesso linguaggio che usano i sistemi SCADA legittimi per controllare gli interruttori. Un software che parlava la lingua delle macchine. Che poteva comandarle in modo autonomo, senza mani umane.
Il 17 dicembre 2016, un quinto della capacità elettrica di Kiev fu interrotta per circa un'ora. Relativamente breve, ma non perché l'attacco fosse stato contenuto. Breve perché era un test. Una dimostrazione di capacità operativa. Un avvertimento.
Il caso dell'acciaieria tedesca: quando i forni si rompono "da soli"
Nel 2015, l'intelligence tedesca (BSI) rese pubblico, con estrema cautela, un caso che aveva tenuto nascosto per mesi: un'acciaieria in Germania era stata vittima di un attacco informatico definito "Stuxnet-like". I sistemi di controllo dei forni industriali erano stati compromessi. I dettagli tecnici precisi e il reale impatto sull'impianto non furono mai completamente divulgati.
Un dato, tuttavia, trapelò: i danni fisici ai macchinari erano stati "massivi". Forni che si rompono "da soli" hanno un costo enorme: in mancata produzione, in riparazioni, in tempi di fermo. E tutto questo, in silenzio, senza che gli operatori capissero che stava accadendo qualcosa di anomalo, finché non era troppo tardi.
NotPetya 2017: quando la guerra OT trabocca nel mondo IT
Nel giugno 2017, Sandworm scatenò quella che viene ancora oggi considerata l'operazione cyber più devastante economicamente della storia: NotPetya.
Mascherato da ransomware, NotPetya era in realtà un wiper, un malware progettato non per chiedere riscatti ma per distruggere irreversibilmente i dati. Si diffuse a velocità fulminea sfruttando vulnerabilità nei sistemi Windows, colpendo inizialmente l'Ucraina e poi dilagando nel mondo intero. I danni globali furono stimati in oltre 10 miliardi di dollari. Maersk (shipping), FedEx TNT, Merck, Mondelez, Reckitt Benckiser: colossi internazionali con sistemi in tilt per settimane.
NotPetya non era mirato alle reti OT, ma la lezione era chiara: quando un attore statale decide di colpire, i danni non restano confinati al bersaglio originale. Si propagano, si espandono e colpiscono chi non era nel mirino.
Stuxnet sabotava in silenzio. Sandworm spegneva le luci. Ma entrambi, in fondo, evitavano una cosa: le vittime umane dirette. Qualcuno, invece, aveva deciso di togliere quel limite. Qualcuno aveva scritto un malware il cui unico scopo era rendere impossibile fermare un'esplosione.
Per maggiori informazioni:
Sito web: www.seccomarco.com