askformore@bittnet.ro
Lezioni programmate

Nuovi gruppi di attacco prendono di mira le infrastrutture critiche ICS OT nel 2025

L'anno 2025 segna una chiara accelerazione delle attività dannose dirette contro infrastrutture critiche come ICS (Sistemi di controllo industriale) si OT (Tecnologia Operativa)Dati recenti presentati da Dragos, uno dei leader mondiali nella sicurezza ICS, mostrano che tre nuovi gruppi di attacco sono entrati nel panorama delle minacce avanzate, ampliando significativamente la superficie di rischio per le entità che gestiscono reti industriali complesse. L'emergere di questi gruppi indica una maturazione dell'ecosistema degli aggressori, che si sta spostando dalle classiche operazioni IT ad attacchi specializzati a protocolli e sistemi industriali con impatto diretto sul mondo fisico.

Il panorama delle minacce OT ICS nel 2025

Con l'accelerazione dell'adozione delle tecnologie digitali da parte dell'industria globale, i sistemi ICS e OT stanno diventando sempre più interconnessi con le infrastrutture IT tradizionali. Questa convergenza crea significative opportunità di ottimizzazione, ma anche nuovi vettori di attacco per gruppi sofisticati. Secondo l'analisi di Dragos, nel 2025 si è registrato un aumento di oltre il 40% nell'attività dei gruppi direttamente interessati a compromettere i sistemi industriali. L'espansione delle reti industriali a livello globale, la pressione per una rapida modernizzazione e la mancanza di patch adeguate in molte installazioni contribuiscono al fenomeno del rischio sistemico.

3 nuovi gruppi ICS OT identificati nel 2025

Dragos ha identificato tre nuovi gruppi che hanno iniziato a concentrare le proprie operazioni su infrastrutture industriali e sistemi operativi. Questi gruppi, sebbene ancora in fase iniziale, dimostrano la chiara intenzione di sviluppare capacità avanzate per compromettere le reti ICS, raccogliere informazioni tecniche e creare un accesso persistente alle catene di produzione e agli impianti critici. Inoltre, ciascuno di questi gruppi sta adottando tecniche sempre più modulari, facilmente adattabili a diversi ambienti industriali, a indicare un ecosistema di avversari in fase di maturazione e un crescente interesse per il sabotaggio operativo.

1. GRITBLEND

GRITBLEND è uno dei gruppi emergenti più importanti nel 2025, con un profilo operativo caratterizzato dalla raccolta di informazioni tecniche e dall'accesso iniziale alle reti che gestiscono moderni sistemi ICS. Il gruppo sembra essere particolarmente interessato ai settori dell'energia e dei trasporti, cercando di ottenere topologie di rete, configurazioni di sistemi industriali ed elenchi di risorse OT critiche. La loro metodologia si basa sullo spear-phishing mirato e sullo sfruttamento di vulnerabilità accidentalmente esposte nelle DMZ, che consente loro di ottenere un accesso discreto senza attivare avvisi evidenti.

GRITBLEND utilizza strumenti personalizzati per la ricognizione passiva delle reti e la mappatura di sistemi PLC e SCADA. Questo comportamento suggerisce che il gruppo stia costruendo un arsenale tecnico per potenziali future operazioni di interruzione o sabotaggio, in particolare su flussi di produzione industriale altamente dipendenti. Inoltre, gli specialisti di Dragos riscontrano una somiglianza tra le tattiche di GRITBLEND e le tecniche tradizionali utilizzate dai gruppi statali nell'area Asia-Pacifico, sebbene non vi sia ancora un'attribuzione formale.

2. ABITUDINE DI SPINNER

SPINNER HABIT si distingue per la sua attenzione alle rotte di approvvigionamento industriale e alle infrastrutture logistiche operative. Il gruppo si rivolge specificamente agli operatori della catena di trasporto, comprese le aziende dei settori ferroviario, marittimo e stradale che utilizzano sistemi OT per automatizzare i processi. Le intenzioni del gruppo sembrano essere orientate ad ampliare l'accesso alle infrastrutture, ottenere credenziali privilegiate ed esplorare la possibilità di interrompere i flussi di trasporto manipolando i sistemi di controllo.

SPINNER HABIT utilizza tecniche di "living off-the-land" e sfrutta strumenti legittimi provenienti da ambienti industriali per eludere il rilevamento. È anche uno dei pochi gruppi che ha mostrato interesse per protocolli industriali specifici per la mobilità come CAN, CIP o DNP3, a dimostrazione di investimenti significativi nello sviluppo di capacità specializzate. L'obiettivo finale sembra essere quello di ottenere un livello di visibilità operativa approfondito, che possa costituire la base per future operazioni di sabotaggio o estorsione.

3. SPETTRO DI SMERALDO

EMERALD SPECTRE è considerato il più misterioso dei tre nuovi gruppi, con un approccio discreto e un focus diretto sul furto di proprietà intellettuale e sulla raccolta di informazioni industriali avanzate. Il gruppo ha dimostrato un forte interesse per i sistemi ICS utilizzati nel settore manifatturiero e nelle industrie di precisione, tra cui la produzione di componenti a semiconduttore, apparecchiature automatizzate e sensori industriali. L'analisi comportamentale mostra che il gruppo si basa su un'infiltrazione lenta e sul mantenimento di un accesso a lungo termine senza interrompere i processi.

EMERALD SPECTRE sembra utilizzare una serie di strumenti avanzati, molti dei quali progettati per essere eseguiti direttamente su sistemi embedded e controller industriali. Vi sono indicazioni che il gruppo stia utilizzando tattiche di raccolta del firmware, estraendo informazioni sull'implementazione interna dei componenti industriali. Questo approccio è raro ed è segno di un attore avanzato, probabilmente sponsorizzato da uno stato, interessato a replicare o compromettere infrastrutture industriali strategiche.

Motivi per cui gli ICS OT stanno diventando obiettivi strategici

L'ecosistema OT ICS è un obiettivo primario per gli aggressori, poiché può generare un impatto fisico, finanziario e geopolitico significativo. A differenza dei sistemi IT tradizionali, i sistemi industriali controllano direttamente i processi fisici che influenzano le infrastrutture critiche a livello nazionale. Pertanto, gli attacchi a questi ambienti possono causare interruzioni di corrente, arresti della produzione, incidenti ambientali o persino rischi per la sicurezza pubblica. Con l'aumento della connettività, l'esposizione aumenta inevitabilmente e gli aggressori si specializzano nello sfruttare questa realtà.

Tecniche e tattiche comuni utilizzate dai nuovi gruppi

I tre gruppi analizzati adottano una serie di tecniche comuni, spesso allineate al framework MITRE ATT&CK per ICS. Queste tattiche, adattate agli ambienti industriali, includono lo sfruttamento delle vulnerabilità nel lato IT della rete, il passaggio al dominio OT e l'utilizzo di protocolli industriali per raccogliere informazioni o manipolare processi. Tali tecniche si concentrano sulla persistenza, sulla furtività e sull'instaurazione di un elevato livello di controllo sui componenti industriali critici.

    – Sfruttamento di sistemi IT scarsamente protetti come punto di ingresso negli ambienti OT.
    – Riconoscimento approfondito delle reti ICS per la mappatura dei flussi industriali.
    – Raccolta di credenziali privilegiate per il controllo operativo.
    – Sfruttamento di protocolli industriali per l’accesso persistente.
    – Utilizzo di strumenti legittimi per evitare il rilevamento nelle reti OT.

L'impatto globale dell'aumento degli attacchi OT ICS

L'aumento di gruppi che prendono di mira i sistemi ICS OT rappresenta una minaccia globale, poiché colpisce settori critici come l'energia, i trasporti, la produzione e i servizi essenziali. Gli attacchi possono causare interruzioni su larga scala, compromettere la sicurezza fisica o persino conseguenze geopolitiche. Nel 2025, diversi incidenti segnalati mostrano un crescente interesse da parte degli aggressori nello sfruttare le vulnerabilità di SCADA e PLC per ottenere il controllo sui processi industriali critici.

Strategie di difesa per le organizzazioni

La protezione delle infrastrutture OT ICS richiede un approccio multidimensionale che combini tecnologia, processi e formazione. Le organizzazioni devono adottare un modello di sicurezza incentrato sulla segmentazione, sul monitoraggio continuo e sulla visibilità end-to-end dei componenti industriali. Allo stesso tempo, la collaborazione con le autorità nazionali e i fornitori specializzati diventa un fattore chiave per l'individuazione precoce di attività sospette.

    – Implementazione di una rigida segmentazione tra reti IT e OT.
    – Monitoraggio del traffico industriale per anomalie comportamentali.
    – Aggiornamenti ciclici del firmware e applicazione di patch di sicurezza.
    – Utilizzo di tecnologie specializzate per il rilevamento delle minacce ICS.
    – Formazione continua per i team OT e IT sulle minacce emergenti.

Conclusione

L'emergere dei tre nuovi gruppi identificati da Dragos conferma che il panorama delle minacce OT ICS è in rapida evoluzione, con gli avversari che investono risorse significative nello sviluppo di capacità volte a manipolare i processi industriali. Questa tendenza dimostra l'urgente necessità di un livello di maturità più elevato nella sicurezza informatica industriale. Le infrastrutture critiche sono un perno fondamentale per la stabilità nazionale e le organizzazioni devono rafforzare le proprie strategie difensive per prevenire attacchi che possono avere impatti fisici, operativi e geopolitici.

Hai sicuramente capito quali sono le novità in ambito cybersecurity nel 2026. Se sei interessato ad approfondire le tue conoscenze in materia, ti invitiamo a esplorare la nostra offerta formativa strutturata per ruoli e categorie in CYBERSECURITY HUB. Che tu sia alle prime armi o voglia migliorare le tue competenze, abbiamo il corso adatto a te.