Guerra Cibernetica

Attacco cyber russo all’energia polacca: Electrum colpisce sistemi energetici distribuiti

di Livio Varriale
scritto da Livio Varriale 0 commenti
attacco cyber grid polacco electrum ot ics

Attacco cyber grid polacco è l’espressione che sintetizza uno degli incidenti più gravi e sottovalutati del 2025 europeo: secondo Dragos, un’operazione attribuibile con moderata confidenza al gruppo russo Electrum ha compromesso circa 30 siti energetici in Polonia, colpendo direttamente sistemi OT e ICS legati alla generazione distribuita. L’assenza di blackout non riduce la gravità dell’evento: l’impatto potenziale ha raggiunto 1,2 GW, pari a circa il 5% della capacità nazionale, esponendo il grid a rischi di instabilità frequenziale e fallimenti a cascata in pieno inverno.

Electrum e la guerra silenziosa contro i sistemi OT europei

Electrum non è un attore opportunistico. Secondo Dragos, il gruppo opera come crew sponsorizzata da interessi statali russi, con un focus esclusivo su operazioni ICS-specifiche. Il suo modello è chiaro: ponte tra IT e OT, accesso profondo agli ambienti industriali, manipolazione diretta dei processi fisici. Le sovrapposizioni operative con Sandworm, noto anche come APT44, rafforzano l’ipotesi di un ecosistema coordinato di attori che condividono obiettivi, tooling e know-how.

Nel caso polacco, Electrum ha disabilitato comunicazioni critiche, corrotto configurazioni OT oltre il recupero e danneggiato attrezzature fisiche in modo irreparabile. Non si tratta di semplice spionaggio: è sabotaggio infrastrutturale, condotto con una conoscenza precisa delle architetture di campo, delle RTU, dei dispositivi edge di rete e dei sistemi di monitoraggio.

Kamacite e l’accesso iniziale come servizio OT

Il ruolo dell’accesso iniziale è stato affidato a Kamacite, gruppo affiliato che opera come enabler delle intrusioni OT. Kamacite gestisce la fase più silenziosa ma decisiva: spear-phishing mirato, furto di credenziali, sfruttamento di servizi esposti e ricognizione prolungata per garantire persistenza.

Dal luglio 2025, Kamacite ha ampliato le proprie attività oltre l’Ucraina, conducendo scansioni contro dispositivi industriali anche fuori dall’Europa orientale. Il suo compito è preparare il terreno, evitando interruzioni immediate per mantenere accessi latenti. Una volta consolidata la presenza, Electrum entra in scena per eseguire le manipolazioni ICS, massimizzando il danno in finestre operative brevi e affrettate.

Cosa è stato colpito nel grid polacco

L’attacco ha preso di mira siti di risorse energetiche distribuite (DER), inclusi impianti CHP, sistemi di dispacciamento eolico e solare e infrastrutture di monitoraggio grid-facing. Gli attaccanti hanno sfruttato misconfigurazioni e vulnerabilità in dispositivi esposti, disabilitando RTU, apparati di rete edge e piattaforme di controllo remoto.

Almeno 12 siti hanno confermato compromissioni dirette, ma l’analisi di Dragos indica un perimetro più ampio, con configurazioni replicate e quindi vulnerabili su scala. L’operazione non ha causato blackout immediati, ma ha aumentato in modo significativo il rischio di collassi a catena, soprattutto in condizioni di carico invernale.

Il fattore tempo: perché dicembre 2025 conta

Il timing invernale è uno degli elementi più critici. Colpire il grid energetico durante i mesi freddi significa massimizzare l’impatto potenziale sulla popolazione civile, anche senza spegnere direttamente la luce. La perdita di monitoraggio, la disabilitazione delle comunicazioni e la corruzione di configurazioni OT riducono la capacità di risposta degli operatori proprio quando la stabilità del sistema è più fragile.

Questo approccio opportunistico, rapido e distruttivo distingue l’operazione da campagne di pre-posizionamento di lungo periodo. È un segnale di escalation, non un test isolato.

Collegamenti con campagne precedenti e wiper ICS

Le connessioni storiche rafforzano l’allarme. Electrum è stato associato in passato a CaddyWiper e Industroyer2, strumenti già utilizzati contro infrastrutture energetiche ucraine. ESET ha inoltre collegato APT44 a un attacco fallito con DynoWiper, suggerendo che il perimetro europeo sia ormai parte integrante della strategia offensiva russa contro infrastrutture critiche.

Il passaggio dalla sperimentazione ucraina all’estensione verso Polonia ed Europa centrale indica che la geografia non è più un vincolo operativo. I gruppi stanno testando, adattando e riutilizzando tecniche su più grid nazionali.

Implicazioni per la sicurezza energetica europea

L’incidente polacco è un avvertimento strutturale. I sistemi energetici decentralizzati, pilastro della transizione verde europea, aumentano la superficie d’attacco se non accompagnati da hardening OT, segmentazione rigorosa e monitoraggio continuo. La mancanza di blackout non deve essere interpretata come successo difensivo, ma come fortuna operativa. Per l’Europa, il messaggio è chiaro: le intrusioni OT sostenute sono già in corso, e il passaggio da accesso latente a sabotaggio distruttivo può avvenire senza preavviso.

Misure difensive e lezioni operative

Dragos sottolinea che servizi esposti, misconfigurazioni ripetute e scarsa visibilità OT restano i principali punti di ingresso. La difesa richiede audit continui, protezione delle credenziali, separazione reale tra IT e OT e capacità di rilevare attività anomale prima che diventino irreversibili. L’attacco al grid polacco dimostra che la sicurezza energetica è ormai sicurezza nazionale digitale. Ignorare questo legame significa accettare che il prossimo incidente non sia solo un test, ma un evento con conseguenze civili dirette.

Domande frequenti sull’attacco cyber al grid polacco

L’attacco ha causato blackout in Polonia?

No, non si sono verificati blackout, ma l’operazione ha messo a rischio fino al 5% della capacità nazionale, aumentando il pericolo di instabilità e collassi a catena.

Chi è il gruppo Electrum?

Electrum è un gruppo hacker russo specializzato in operazioni ICS e OT, con sovrapposizioni operative con Sandworm/APT44 e precedenti attacchi contro infrastrutture energetiche.

Qual è il ruolo di Kamacite nell’attacco?

Kamacite gestisce l’accesso iniziale tramite spear-phishing, credenziali rubate e servizi esposti, preparando l’ambiente per le manipolazioni OT di Electrum.

Perché i sistemi energetici distribuiti sono più vulnerabili?

La generazione distribuita aumenta il numero di dispositivi esposti e interconnessi. Senza hardening e monitoraggio adeguati, ogni nodo diventa un potenziale punto di ingresso per attacchi OT.

Iscriviti a Matrice Digitale

Ricevi le notizie principali direttamente nella tua casella di posta.

Niente spam, disiscriviti quando vuoi.

Potrebbe interessarti anche

Matrice Digitale partecipa al Programma Affiliazione Amazon EU, un programma di affiliazione che consente ai siti di percepire una commissione pubblicitaria pubblicizzando e fornendo link al sito Amazon.it.

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il motto di Livio Varriale è “Coerenza, Costanza, CoScienza”.