I numerosi aspetti della minaccia cyber per il settore energetico

TelsyInTouch: conversazioni mobili sicure

 Vedi tutte
Cybersecurity

I numerosi aspetti della minaccia cyber per il settore energetico

Threat Discovery Telsy TS WAY Cyber Threat Intelligence

Threat Discovery è uno spazio editoriale di Telsy e TS-WAY dedicato all’approfondimento in ambito cyber threat intelligence a livello globale.

Le informazioni riportate sono l’esito del lavoro di raccolta e analisi svolto dagli specialisti di TS-WAY per la piattaforma TS-Intelligence.

Nelle ultime settimane sono state segnalate offensive cyber che hanno coinvolto in modi differenti il comparto energetico e dell’Oil&Gas. La panoramica che segue, lungi dal voler delineare un quadro omogeneo, si pone come istantanea di un contesto estremamente differenziato, in cui la minaccia cyber si manifesta a livelli e con effetti differenti.

 

Campagne state-sponsored

Littleton Electric Light and Water Departments (LELWD), una piccola azienda pubblica del Massachusetts, è stata compromessa dall’APT cinese Volt Typhoon. L’intrusione, avviata a febbraio del 2023 e perdurata quasi un anno, era finalizzata a raccogliere informazioni sul comparto OT (Operational Technology) del provider di energia ed acqua, con il presunto obiettivo di un’azione distruttiva in caso di conflitto.

L’attività si inserirebbe in una strategia più vasta che Pechino avrebbe progettato per posizionarsi all’interno delle infrastrutture critiche degli Stati Uniti e guadagnare vantaggi strategici ed operativi nell’eventualità di crisi future. In questa prospettiva è stata letta anche l’operazione che lo stesso APT ha condotto contro infrastrutture strategiche sull’isola di Guam, in Micronesia, che ospita basi aeree e navali americane.

cyber room

Le autorità federali del Belgio hanno avviato un’indagine su una presunta operazione di spionaggio cinese, risalente al biennio 2021-2023, che avrebbe impattato i sistemi della Belgian Pipeline Organisation, ente militare che supervisiona gli oleodotti del Mare del Nord, e dell’agenzia di intelligence e sicurezza VSSE. La violazione sarebbe riconducibile alla campagna basata sulla 0-day CVE-2023-2868 dell’Email Security Gateway Appliance di Barracuda, scoperta proprio nel 2023 e associata all’avversario cinese UNC4841.

La campagna Double-Tap, associata all’APT russo Sofacy, tracciata per la prima volta a luglio 2024 dal CERT ucraino e ancora attiva a novembre, ha mirato a raccogliere informazioni sulle relazioni internazionali del Kazakistan. Il cyberattacco ha sfruttato, come vettore, e-mail di spear phishing contenenti documenti Office legittimi, presumibilmente provenienti dal Ministero degli Affari Esteri della Repubblica del Kazakistan.

L’interesse della Russia a preservare la propria influenza su questa regione viene sollecitato dai tentativi di Astana di ritagliarsi un ruolo in Asia centrale e nelle relazioni con Europa e USA sulla base di almeno due istanze principali. Da un lato, il Paese è ben posizionato nella Trans-Caspian International Transport Route (TITR), conosciuta anche come “Middle Corridor”, una rete di strade, ferrovie, rotte marittime e fluviali che collega la Cina con l’Europa continentale e mediterranea, aggirando l’Ucraina.

Dall’altro, il Kazakistan – che è uno dei maggiori produttori di uranio al mondo – si sta proponendo come importante realtà di riferimento nel settore energetico, col progetto di una centrale nucleare civile che dovrà essere realizzata nei pressi della località di Ulken, nella regione di Almaty, sulla sponda occidentale del lago Balkhash. La costruzione della centrale, approvata lo scorso 6 ottobre da un referendum, è stata affidata alle aziende China National Nuclear Corporation (CNNC), Korea Hydro & Nuclear Power (KHNP), Rosatom (Russia) e Électricité de France (EDF).

 

Operazioni hacktiviste

Lab Dookhtegan, gruppo hacktivista di opposizione interna al Governo di Teheran, ha rivendicato un attacco contro le compagnie di trasporto merci National Iranian Tanker Company e Islamic Republic of Iran Shipping Lines. Il gruppo, attivo da sei anni e responsabile di campagne Hack-and-Leak contro l’intelligence iraniana e i suoi APT, ha inteso protestare contro presunte violazioni delle sanzioni sul commercio di petrolio. Secondo gli hacktivisti, infatti, le due compagnie avrebbero facilitato la vendita di greggio iraniano alla Cina.

L’attacco, avvenuto in concomitanza con le operazioni cinetiche condotte nel Mar Rosso dagli USA contro gli Houthi yemeniti, avrebbe causato l’interruzione delle comunicazioni di 116 navi appartenenti alle due compagnie e costituirebbe una delle maggiori offensive mai realizzate contro il comparto marittimo iraniano.

 

Attacchi ransomware

electricaLynx Team ha rivendicato la compromissione di Electrica Group – Societatea Energetica Electrica S.A., uno dei maggiori fornitori di energia della Romania. L’attacco è avvenuto a novembre 2024 e, secondo le informazioni fornite dal ministro dell’energia, Sebastian Burduja, non avrebbe avuto alcun impatto sui sistemi SCADA (Supervisory Control and Data Acquisition) del comparto OT. La sua attribuzione è stata fatta quasi immediatamente dalla Direzione nazionale rumena per la sicurezza cibernetica (DNSC), ma la rivendicazione sarebbe comparsa sul sito dei leak dell’avversario solo a febbraio 2025. Quest’anno, Lynx Team ha rivendicato violazioni contro altre realtà di questo settore, come Lexington Electric (USA) e Palomino Petroleum (USA).

Nel complesso, le segnalazioni di attacchi ransomware contro target energy e Oil&Gas, pubblicate dagli avversari fra 2022 e 2024, superano le 260.

LockBit Team ne ha indicate quasi 60, contro realtà come Petrotec Qatar e la società tedesca di proprietà federale Deutsche Energie-Agentur GmbH. Quest’ultima, compromessa dal gruppo ransomware russo a fine 2023, è comparsa negli stessi giorni anche fra le vittime di ALPHV Team, il quale ne ha segnalate in totale circa 30, fra cui la canadese Trans-Northern Pipelines.

 

Malware

Una versione modificata di AsyncRAT è stata distribuita da un avversario di presunta origine libica contro circa 900 target localizzati in Egitto, Libia, Emirati Arabi Uniti, Arabia Saudita e Turchia. L’attaccante ha sfruttato piattaforme social come Facebook per diffondere falsi annunci contenenti un link malevolo. Fra le macchine infettate vi sarebbero quelle di alcuni dipendenti di aziende del settore petrolifero.

Una campagna malware basata su MintsLoader ha distribuito l’infostealer StealC e il client della piattaforma di network computing open-source BOINC.  StealC è un Malware-as-a-Service – commercializzato almeno dal 2023 in forum underground per russofoni – che prende di mira dati sensibili memorizzati da browser web, estensioni, applicazioni, wallet di criptovaluta e client di posta elettronica, comprese informazioni finanziarie, password e token. BOINC è legittima ed è stata sviluppata dall’università californiana di Berkleley. Fra le vittime ci sono organizzazioni dei settori dell’energia elettrica, Oil&Gas, degli studi legali e dei servizi giuridici in Europa e USA.

 

Telsy e TS-WAY

Telsy_TS WAYTS-WAY è un’azienda che sviluppa tecnologie e servizi per organizzazioni di medie e grandi dimensioni, con un’expertise in cyber threat intelligence unica nel panorama italiano. Nata nel 2010, dal 2023 TS-WAY è entrata a far parte di Telsy.

TS-WAY si configura come una effettiva estensione dell’organizzazione cliente, a supporto del team in-house, per le attività informative e di investigazione, per la risposta ad incidenti informatici e per le attività di verifica della sicurezza dei sistemi.

L’esperienza di TS-WAY è riconosciuta in consessi internazionali ed è avvalorata da grandi organizzazioni private nei comparti finanza, assicurazioni, difesa, energia, telecomunicazioni, trasporti, tecnologia e da organizzazioni governative e militari che nel tempo hanno utilizzato i servizi di questa società italiana.

 

I servizi di TS-WAY

TS-WAY è un’azienda che sviluppa tecnologie e servizi per organizzazioni di medie e grandi dimensioni, con un’expertise in cyber threat intelligence unica nel panorama italiano. Nata nel 2010, dal 2023 TS-WAY è entrata a far parte di Telsy.

TS-WAY si configura come una effettiva estensione dell’organizzazione cliente, a supporto del team in-house, per le attività informative e di investigazione, per la risposta ad incidenti informatici e per le attività di verifica della sicurezza dei sistemi.

L’esperienza di TS-WAY è riconosciuta in consessi internazionali ed è avvalorata da grandi organizzazioni private nei comparti finanza, assicurazioni, difesa, energia, telecomunicazioni, trasporti, tecnologia e da organizzazioni governative e militari che nel tempo hanno utilizzato i servizi di questa società italiana.

 

TS-Intelligence

TS-Intelligence_Telsy_Platform-2TS-Intelligence è una soluzione proprietaria, flessibile e personalizzabile, che fornisce alle organizzazioni un panorama di rischio dettagliato.

Si presenta come una piattaforma fruibile via web e full-API che può essere azionata all’interno dei sistemi e delle infrastrutture difensive dell’organizzazione, con l’obiettivo di rafforzare la protezione nei confronti delle minacce cibernetiche complesse.

La costante attività di ricerca e analisi sui threat actors e sulle minacce emergenti in rete, sia in ambito APT che cyber crime, produce un continuo flusso informativo di natura esclusiva che viene messo a disposizione delle organizzazioni in real-time ed elaborato in report tecnici, strategici ed executive.

 

Scopri di più sui servizi di TS-WAY.

1