Alla fine di dicembre, la Polonia ha subìto un tentativo di attacco cyber su larga scala. L’obiettivo era colpire le centrali elettriche e i diversi produttori di energia per provocare un blackout e interrompere i servizi essenziali. Immediate, le accuse del Governo contro la Russia.

Alcuni studiosi hanno analizzato l’operazione. I cyber criminali avrebbero impiegato un malware altamente distruttivo, un wiper, progettato per cancellare o sovrascrivere file critici e rendere i sistemi informatici inutilizzabili. Gli stessi ne avrebbero anche ottenuto una copia, ribattezzandolo DynoWiper.

Con l’inizio della seconda fase del conflitto russo-ucraino le infrastrutture critiche polacche sono state oggetto di un numero crescente di attacchi informatici da parte di gruppi cyber legati a Mosca. Il tutto, sia per via del ruolo di Varsavia nel conflitto, che per la sua posizione geo-economica. Del resto, l’impiego di wiper da parte della Russia era una costante, sia prima che durante l’attuale conflitto.

“Un’operazione senza precedenti” per la Polonia

Alcuni analisti che si occupano di sicurezza informatica hanno definito l’operazione “senza precedenti” per la Polonia. In passato, infatti, secondo quanto ha riportato Zero Day, gli attacchi informatici contro il Paese sul Mar Baltico “non avevano mai avuto una natura così apertamente distruttiva“.

Almeno potenzialmente. Hanno infatti aggiunto: “Portare a termine un attacco cyber in grado di causare danni reali al settore energetico polacco avrebbe costituito un evento di enorme portata”.

Le stime delle autorità di Varsavia

Pur l’attacco respinto prima di produrre effetti, le autorità polacche hanno stimato che, se fosse andato a buon fine, avrebbe potuto lasciare senza elettricità fino a 500mila persone. I dettagli tecnici dell’intrusione sono tuttavia rimasti coperti. Tuttavia, l’uso di un wiper rafforza l’ipotesi che l’obiettivo fosse la distruzione dei sistemi.

Con un livello di “media confidenza”, le accuse contro Mosca sono state rivolte soprattutto al gruppo Sandworm. Celebre collettivo di hacker criminali che ha legami con il GRU, l’intelligence militare russa, Sandworm ha ricevuto l’identificazione in qualità di “responsabile dell’attacco“.

L’attribuzione si basa sulle tattiche impiegate e sulle forti somiglianze con precedenti attacchi che Sandworm ha condotto contro l’Ucraina. Il gruppo di hacker criminali è noto per gli attacchi Black Energy che colpirono l’infrastruttura energetica ucraina nel 2015, causando un blackout per circa 250mila persone nell’area di Kiev.

Non a caso, l’operazione contro la Polonia si è verificata il 29 e 30 dicembre, a quasi dieci anni dai primi attacchi su larga scala contro il sistema energetico ucraino. Gli obiettivi includevano diverse entità chiave della produzione e distribuzione energetica polacca. Nel dettaglio, due impianti di cogenerazione e un sistema di gestione dell’energia proveniente da fonti rinnovabili, come turbine eoliche e impianti solari.

Donald Tusk (Primo Ministro Polonia): “Tutti gli indizi ci riportano ai servizi segreti russi”

La notizia dell’attacco è emersa solo la scorsa settimana, dopo una riunione del governo polacco e una successiva conferenza stampa. Nell’occasione il Primo Ministro polacco Donald Tusk ha rassicurato la popolazione, confermando che non si è verificato alcun blackout.

“In nessun momento le infrastrutture critiche hanno subìto una reale minaccia”, ha dichiarato Tusk. “Tutti gli indizi indicano che questi attacchi siano stati preparati da gruppi che hanno un collegamento diretto con i servizi russi”.

I rischi cyber per il settore energetico

Il caso polacco ha nuovamente spostato le attenzioni degli addetti sui rischi cibernetici per il settore dell’energia. Col tempo, infatti, le tradizionali infrastrutture energetiche si sono evolute, diventando progressivamente più connesse grazie alle moderne tecnologie e reti digitali.

Un sistema energetico “sempre più intelligente” può infatti svolgere attività di produzione, distribuzione e relative al mercato con maggiore precisione e tempi di risposta più rapidi. Tuttavia, oleodotti, gasdotti, e in generale le infrastrutture dedite alla distribuzione di idrocarburi tanto allo stato liquido quanto a quello gassoso posseggono non poche criticità.

Criticità, che le espongono a potenziali sabotaggi informatici. Tale condizione costituisce un fattore di rischio per la sicurezza delle forniture energetiche e conseguentemente, per quella di milioni di consumatori e famiglie.

