Un nuovo allarme scuote il panorama della cybersicurezza globale. La Cisa, insieme a FBI, NSA e partner internazionali, ha diramato un advisory urgente riguardante una serie di attacchi condotti da hacktivisti pro-Russia contro infrastrutture critiche negli Stati Uniti e in Europa. A differenza delle classiche campagne DDoS, questi gruppi stanno evolvendo le loro tattiche per colpire direttamente i sistemi OT e ICS, sfruttando connessioni VNC esposte e credenziali deboli.
L’advisory congiunto evidenzia come settori vitali quali acqua, energia e agricoltura siano oggi al centro di operazioni che, pur provenendo da attori meno sofisticati rispetto agli APT statali, riescono comunque a generare interruzioni operative, danni fisici e impatti economici significativi. Obiettivo degli hacktivisti è amplificare l’instabilità, ottenere visibilità politica e inserirsi nella narrativa del conflitto Russia-Ucraina.
Cosa leggere
Chi sono gli hacktivisti: dai legami con il GRU ai nuovi gruppi emergenti
Il panorama degli attori coinvolti è eterogeneo ma unito da un’agenda filorussa. Gruppi storici come CARR hanno mantenuto collegamenti diretti o indiretti con l’unità 74455 del GRU fino al 2024. Collettivi come NoName057(16) sfruttano strumenti come DDoSia per coordinare operazioni su larga scala. A questi si aggiungono attori più recenti come Z-Pentest, emerso nel 2024, e Sector16, attivo dal gennaio 2025 e caratterizzato da tattiche opportunistiche.
Il cambio di passo è evidente: gli attori non si limitano più a diffondere propaganda tramite Telegram, ma ricercano attivamente dispositivi esposti attraverso scansioni massive delle porte VNC. L’obiettivo è accedere alle interfacce HMI, manipolare parametri operativi e causare blocchi, malfunzionamenti o arresti non pianificati degli impianti.
Tattiche e impatti: dal brute-force ai danni fisici
Le tecniche utilizzate, classificate secondo MITRE ATT&CK v18, mostrano un approccio semplice ma devastante. La ricognizione parte da scansioni sistematiche delle porte 5900-5910; gli attaccanti applicano password spraying per individuare credenziali deboli o predefinite. Una volta ottenuto l’accesso, si muovono lateralmente nella rete OT fino a ottenere il controllo dei sistemi di automazione.
MITRE ATT&CK Tactics and Techniques
See Table 1 to Table 10 for all referenced threat actor tactics and techniques in this advisory. For assistance with mapping malicious cyber activity to the MITRE ATT&CK framework, see CISA and MITRE ATT&CK’s Best Practices for MITRE ATT&CK Mapping and CISA’s Decider Tool.
| Technique Title | ID | Use |
|---|---|---|
| Gather Victim Organization Information | T1591 | Threat actors use information available on the internet to determine what systems they believe they have compromised and post the information on their social media. This methodology frequently leads to the threat actors misidentifying their claimed victims. |
| Active Scanning: Vulnerability Scanning | T1595.002 | Threat actors use open source tools to look for IP addresses in target countries with visible VNC services on common ports. |
| Technique Title | ID | Use |
|---|---|---|
| Acquire Infrastructure: Virtual Private Server | T1583.003 | Threat actors use virtual infrastructure to obfuscate identifiers. |
| Technique Title | ID | Use |
|---|---|---|
| Internet Accessible Device | T0883 | Threat actors gain access through less secure HMI devices exposed to the internet. |
| Technique Title | ID | Use |
|---|---|---|
| Valid Accounts | T0859 | Threat actors use password guessing tools to access legitimate accounts on the HMI devices. |
| Technique Title | ID | Use |
|---|---|---|
| Brute Force: Password Spraying | T1110.003 | Threat actors use tools to rapidly guess common or simple passwords. |
| Technique Title | ID | Use |
|---|---|---|
| Default Credentials | T0812 | Threat actors seek and build libraries of known default passwords for control devices to access legitimate user accounts. |
| Remote Services | T0886 | Threat actors leverage VNC services to access system HMI devices. |
| Remote Services: VNC | T1021.005 | Threat actors hunt VNC-enabled devices visible on the internet and connect with remote viewer software. |
| Technique Title | ID | Use |
|---|---|---|
| Graphical User Interface | T0823 | Threat actors interact with HMI devices via GUIs, attempting to modify control devices. |
| Technique Title | ID | Use |
|---|---|---|
| Device Restart/Shutdown | T0816 | While threat actors claim to turn off HMIs, it is possible that operators (not the threat actors) turn the devices off during incident response. |
| Alarm Suppression | T0878 | Threat actors use HMI interfaces to clear alarms caused by their activity and alarms already present on the system at the time of their intrusion. |
| Change Credential | T0892 | Threat actors change the usernames and passwords of HMI devices in operator lockout attempts, usually resulting in a loss of view and operators switching to manual operations. |
| Technique Title | ID | Use |
|---|---|---|
| Modify Parameter | T0836 | Threat actors attempt to change upper and lower limits of operational devices as available from the HMI. |
| Unauthorized Command Message | T0855 | Threat actors attempt to send unauthorized command messages to instruct control system assets to perform actions outside of their intended functionality, causing possible impact. |
| Technique Title | ID | Use |
|---|---|---|
| Loss of Productivity and Revenue | T0828 | Threat actors purposefully attempt to impact productivity and create additional costs for the affected entities. |
| Loss of View | T0829 | Threat actors change credentials on HMI devices, preventing operators from modifying processes remotely. |
| Manipulation of Control | T0831 | Threat actors change setpoints in processes, impacting the efficiency of operations for those specific processes. |
Gli incidenti documentati negli ultimi anni confermano la gravità del fenomeno: impianti idrici hanno subito alterazioni dei parametri di trattamento, aziende agricole hanno registrato interruzioni produttive e operatori energetici sono stati costretti a riavvii manuali e costosi processi di ripristino. Gli hacktivisti puntano a generare caos reale, amplificato poi attraverso narrazioni social calibrate per alimentare pressione psicologica e sfiducia verso le istituzioni occidentali.
Mitigazione e difesa: come proteggere le reti OT
Le autorità sottolineano che la maggior parte degli incidenti risulta evitabile. Le criticità principali non derivano da exploit complessi, ma da configurazioni errate e mancanza di controlli di base. La priorità assoluta è l’eliminazione dell’esposizione diretta su Internet dei sistemi ICS e OT.
La segmentazione delle reti deve diventare un requisito imprescindibile, insieme all’adozione della MFA per gli accessi remoti. Le organizzazioni devono mantenere inventari aggiornati, applicare patch con regolarità, effettuare backup delle configurazioni e testare le procedure di ripristino manuale per garantire continuità operativa anche in caso di compromissione digitale.
Un appello ai produttori: Secure by Design
L’advisory si rivolge anche ai vendor OT, invitandoli ad adottare modelli Secure by Design. È necessario abbandonare l’uso di password predefinite, rendere obbligatoria l’inizializzazione sicura e fornire log accessibili, completi e standardizzati che consentano ai difensori di identificare rapidamente anomalie o accessi sospetti.
La minaccia hacktivista pro-Russia sta passando dal disturbo simbolico al sabotaggio operativo. Solo una collaborazione strutturata tra agenzie governative, operatori industriali e vendor tecnologici potrà innalzare barriere adeguate a proteggere infrastrutture essenziali per la vita quotidiana.
