Cyber-guerra in diretta: cracker iraniani colpiscono impianti idrici ed energetici
- a cura di: massimo.valenti
- Commenti:
- Letture:
- Aggiornato: 09/04/2026, 17:00
- Pubblicato: 09/04/2026, 16:59
Autore umano, supporto AI
Gli articoli di TurboLab.it sono curati dagli utenti della nostra community, ma possono essere generati o migliorati tramite intelligenza artificiale.
Martedì 7 aprile, FBI, NSA, CISA e Dipartimento dell'Energia hanno pubblicato un avviso congiunto che non lascia molto spazio all'interpretazione: cracker affiliati al governo iraniano stanno attivamente compromettendo sistemi di controllo industriale in infrastrutture critiche degli Stati Uniti. Impianti idrici, reti energetiche, strutture governative locali. Non si parla di ricognizione o di tentativi andati a vuoto - l'avviso lo dice in modo esplicito: in alcuni casi l'attività ha già provocato interruzioni operative e perdite economiche.
PLC nel mirino: l'anatomia degli attacchi
Il vettore d'ingresso è quello che ogni esperto di sicurezza teme di più: sistemi industriali esposti direttamente su Internet. Gli attaccanti puntano in modo specifico ai Programmable Logic Controller (PLC), i dispositivi che traducono comandi digitali in azioni fisiche - aprire una valvola, regolare la pressione, avviare una pompa. Tra i PLC presi di mira figurano quelli prodotti da Rockwell Automation, uno dei principali fornitori per il settore industriale nordamericano.
Nello specifico: gli hacker stanno modificando le informazioni visualizzate sulle interfacce dei sistemi di controllo industriale (ICS). Può sembrare un dettaglio cosmetico, ma non lo è. Alterare i dati che un operatore legge sul pannello di controllo significa privarlo della capacità di comprendere lo stato reale dell'impianto - con conseguenze che vanno dal fermo macchina al danno fisico, fino a condizioni pericolose per l'incolumità delle persone.
L'ombra dei CyberAv3ngers
L'avviso non attribuisce formalmente gli attacchi a un gruppo specifico. Tuttavia le tecniche, le tattiche e gli obiettivi mostrano somiglianze marcate con le operazioni dei CyberAv3ngers, noti anche come Shahid Kaveh Group, ritenuto operante per conto del Corpo delle guardie della rivoluzione islamica (IRGC). Non è un debutto: i CyberAv3ngers avevano già condotto ondate di attacchi contro obiettivi israeliani e statunitensi a partire dalla fine del 2023, concentrandosi proprio su infrastrutture idriche e sistemi SCADA.
La scelta di evitare un'attribuzione diretta è diplomaticamente calcolata, ma il messaggio tecnico è limpido. Il modus operandi è lo stesso. Gli obiettivi sono gli stessi. L'apparato statale dietro le operazioni è lo stesso.
Gli attacchi alle infrastrutture critiche diventano dunque lo strumento preferito degli stati che vogliono proiettare forza senza varcare la soglia del conflitto armato convenzionale. Ogni PLC vulnerabile connesso a Internet diventa, di fatto, una superficie di attacco geopolitica.
La risposta di Rockwell Automation
Rockwell Automation ha confermato a WIRED di essere a conoscenza dell'avviso e di essersi coordinata con le agenzie governative. Un portavoce ha dichiarato che l'azienda «prende seriamente la sicurezza dei propri prodotti e delle proprie soluzioni», e Rockwell ha pubblicato due avvisi di sicurezza destinati ai clienti con indicazioni per rafforzare la protezione dei PLC interessati.
È il minimo, verrebbe da dire. Ma il problema strutturale va ben oltre il singolo produttore. Decenni di progettazione industriale in cui la connettività è stata aggiunta come funzionalità accessoria - senza ripensare il modello di sicurezza - hanno prodotto un ecosistema OT dove migliaia di dispositivi critici restano raggiungibili dalla rete pubblica con protezioni inadeguate o inesistenti.
Cosa significa per i team di sicurezza
Un avviso congiunto firmato da quattro agenzie federali, tra cui l'intelligence militare e il Dipartimento dell'Energia, non è un documento di routine. È un segnale d'allarme calibrato per scuotere i responsabili della sicurezza operativa nei settori coinvolti: se gestite infrastrutture idriche o energetiche e avete PLC esposti su Internet, siete un bersaglio attivo, non teorico.
Le contromisure sono note da tempo agli addetti ai lavori - segmentazione delle reti, eliminazione dell'accesso diretto da Internet ai dispositivi di controllo, monitoraggio delle modifiche non autorizzate alle configurazioni dei PLC, aggiornamento del firmware secondo le indicazioni del produttore: nulla di nuovo sul piano tecnico. Eppure, se queste misure fossero già state adottate in modo sistematico, un avviso del genere non sarebbe necessario.
La posta in gioco non è astratta. Quando qualcuno altera ciò che un operatore vede sullo schermo di controllo di un impianto di trattamento delle acque, il rischio non è la perdita di dati. È la sicurezza pubblica.
Fonti: cnn.com, wired.com, techcrunch.com
