Roma, 25 mar. (askanews) – Claroty, azienda specializzata nella protezione dei sistemi cyber-fisici (CPS), ha condotto una nuova ricerca che evidenzia come i CPS stiano diventando un obiettivo sempre più privilegiato per i criminali informatici, spesso motivati politicamente e socialmente da eventi geopolitici. Nel report, “Analyzing CPS Attack Trends”, il Team82 ha analizzato oltre 200 attacchi condotti da più di 20 gruppi di threat actor contro sistemi CPS in diversi settori industriali nell’arco di 12 mesi.
La ricerca mostra che l’82% degli attacchi contro i CPS coinvolge l’utilizzo di client basati sul protocollo Virtual Network Computing (VNC) per accedere da remoto ad asset esposti su Internet, mentre nel 66% degli incidenti si è verificata la compromissione di interfacce uomo-macchina (HMI) o di sistemi SCADA (Supervisory Control and Data Acquisition) che controllano i processi industriali. Entrambe queste tipologie di dispositivi supervisionano i processi industriali in tempo reale e qualsiasi accesso o manipolazione illecita può causare conseguenze estremamente gravi per le organizzazioni e per le comunità che servono, tra cui interruzioni dei servizi, danni fisici agli asset o rischi per la sicurezza dei lavoratori e dei cittadini. Molti di questi attacchi risultano, inoltre, relativamente semplici dal punto di vista tecnico e non richiedono lo sfruttamento di vulnerabilità né una conoscenza approfondita dei dispositivi o dei protocolli impegnati.
I dati hanno rivelato che gli attacchi condotti da questi gruppi contro i CPS sono stati in gran parte guidati da obiettivi politici o sociali, coerenti con dinamiche spesso riconducibili a campagne di cyberattacco legate a interessi geopolitici nazionali. Alla luce delle tensioni di lunga data in Medio Oriente e della guerra tra Russia e Ucraina in corso da quattro anni, il Team82 ha attribuito molti degli incidenti a gruppi di threat actor affiliati a Russia e Iran. I principali risultati, infatti, dimostrano che l’81% degli attacchi condotti da gruppi affiliati all’Iran ha preso di mira organizzazioni negli Stati Uniti e in Israele; l 71% degli incidenti riconducibili a gruppi affiliati alla Russia ha preso di mira organizzazioni nei Paesi dell’Unione Europea (UE); i Paesi dell’UE più colpiti da gruppi legati alla Russia sono stati Italia (18%), Francia (11%) e Spagna (9%).
“La nostra ricerca evidenzia un’importante escalation nelle modalità con cui i criminali informatici si stanno infiltrando nei sistemi operativi che sostengono il funzionamento quotidiano della società”, ha dichiarato Amir Preminger, CTO di Claroty e responsabile del Team82. “Gli attaccanti utilizzano tecniche relativamente poco sofisticate per colpire settori critici – dalla manifattura alla gestione dell’acqua e dei rifiuti, dalla produzione di energia alla sanità – ambiti nei quali l’interruzione dei servizi potrebbe avere conseguenze gravi, se non addirittura pericolose. Alla luce di quanto emerso dalla ricerca, appare evidente la necessità di rafforzare le misure di sicurezza dei sistemi CPS: le organizzazioni non possono più permettersi approcci alla cybersecurity poco rigorosi nella gestione e nella protezione di questi dispositivi”.
In questo contesto, le organizzazioni responsabili di ambienti CPS possono adottare diverse misure per rafforzare le proprie difese, come proteggere i dispositivi esposti su Internet: verificare le configurazioni dei sistemi di tecnologia operativa (OT), dei dispositivi smart connessi e dei dispositivi dell’Internet of Medical Things (IoMT), assicurandosi che vengano adottate adeguate misure di sicurezza per impedire l’enumerazione di questi dispositivi, sempre più spesso collegati a Internet; correggere configurazioni di progettazione o predefinite poco sicure: i responsabili della sicurezza devono prestare particolare attenzione alle credenziali predefinite o note per la loro debolezza e modificarle tempestivamente quando i dispositivi vengono messi online. È, inoltre, fondamentale verificare la presenza di eventuali altre configurazioni non sicure e risolvere qualsiasi criticità di sicurezza prima che i dispositivi vengano connessi alla rete; aggiornare i protocolli non sicuri: poiché molti degli attacchi analizzati dal Team82 hanno sfruttato protocolli di progettazione poco sicuri, come VNC e Modbus, privi di funzionalità di sicurezza di base quali autenticazione e crittografia, è importante che i responsabili della sicurezza effettuino un inventario degli asset connessi più sensibili e adottino protocolli di comunicazione adeguati; conoscere l’avversario: comprendere le motivazioni e le tattiche dei gruppi di hacker e, nel caso di questa ricerca, in particolare degli hacktivisti, è fondamentale per individuare i papabili prossimi obiettivi all’interno di un determinato settore e valutare se specifici asset CPS possano presentare livelli di esposizione simili a quelli di altre organizzazioni già compromesse.
Per consultare i risultati completi, l’analisi approfondita e le misure di sicurezza raccomandate dal Team82, è possibile scaricare il report “Analyzing CPS Attack Trends”.
Per fornire una visione completa dell’evoluzione del panorama delle minacce legate agli attacchi drive-by nel dominio dei CPS, il Team82 ha adottato una metodologia di ricerca multilivello. A differenza delle campagne altamente mirate e progettate su misura, questi attacchi drive-by sono caratterizzati da gruppi che scandagliano Internet alla ricerca di asset esposti, con l’obiettivo di amplificare un messaggio politico o sostenere una causa sociale. Il processo di ricerca è stato progettato per filtrare il “rumore” del cybercrime generico e concentrarsi esclusivamente su incidenti verificati che hanno preso di mira sistemi CPS.
La ricerca è stata condotta nell’arco di 12 mesi – da gennaio a dicembre 2025 – e ha seguito un processo articolato in quattro fasi: mappatura delle fonti, monitoraggio continuo, verifica e analisi degli attacchi. Per maggiori dettagli sulla metodologia è possibile consultare il report.