askformore@bittnet.ro
Clase Programate

Noi grupuri de atac vizeaza infrastructura critica ICS OT in 2025

Anul 2025 marcheaza o accelerare evidenta a activitatilor malitioase indreptate impotriva infrastructurilor critice de tip ICS (Industrial Control Systems) si OT (Operational Technology). Datele recente prezentate de Dragos, unul dintre liderii mondiali in securitatea ICS, arata ca trei noi grupuri de atac au intrat in scena amenintarilor avansate, extinzand semnificativ suprafata de risc pentru entitatile care opereaza retele industriale complexe. Aparitia acestor grupuri indica o maturizare a ecosistemului de atacatori, care trec de la operatiuni clasice IT la atacuri specializate pe protocoale si sisteme industriale cu impact direct in lumea fizica.

Peisajul amenintarilor ICS OT in 2025

Pe masura ce industria globala accelereaza adoptia de tehnologii digitale, sistemele ICS si OT devin tot mai interconectate cu infrastructurile IT traditionale. Aceasta convergenta creeaza oportunitati semnificative de optimizare, dar si noi vectori de atac pentru grupurile sofisticate. Conform analizei Dragos, in 2025 s-a inregistrat o crestere cu peste 40% a activitatii grupurilor interesate direct de compromiterea sistemelor industriale. Expansiunea retelelor industriale la nivel global, presiunea pentru modernizare rapida si lipsa patch-urilor adecvate in multe instalatii contribuie la fenomenul de risc sistemic.

3 noi grupuri ICS OT identificate in 2025

Dragos a identificat trei noi grupuri care au inceput sa-si concentreze operatiunile asupra infrastructurilor industriale si sistemelor operationale. Aceste grupuri, desi aflate in stadiu incipient, demonstreaza intentii clare de a dezvolta capabilitati avansate de compromitere a retelelor ICS, de a colecta informatii tehnice si de a crea acces persistent in lanturile de productie si instalatiile critice. In plus, fiecare dintre aceste grupuri adopta tehnici din ce in ce mai modulare, usor adaptabile pentru diferite medii industriale, ceea ce arata o maturizare a ecosistemului adversarilor si o crestere a interesului pentru sabotaj operational.

1. GRITBLEND

GRITBLEND este unul dintre cele mai notabile grupuri emergente din 2025, avand un profil operational caracterizat prin colectarea de informatii tehnice si realizarea de acces initial in retele care opereaza sisteme ICS moderne. Grupul pare sa fie interesat in special de sectoarele de energie si transport, urmarind obtinerea de topologii de retea, configuratii ale sistemelor industriale si liste de active OT critice. Metodologia lor se bazeaza pe spear-phishing directionat si exploatarea vulnerabilitatilor expuse accidental in zone DMZ, ceea ce le permite sa obtina acces discret fara a declansa alerte evidente.

GRITBLEND foloseste instrumente personalizate pentru recunoasterea pasiva a retelei si pentru maparea sistemelor PLC si SCADA. Acest comportament sugereaza ca grupul isi construieste un arsenal tehnic pentru potentiale operatiuni viitoare de disrupere sau sabotaj, in special asupra fluxurilor de productie industriala cu dependente ridicate. In plus, specialistii Dragos observa o asemanare intre tacticile GRITBLEND si tehnicile traditionale folosite de grupurile de stat din APAC, desi nu exista inca o atribuire formala.

2. SPINNER HABIT

SPINNER HABIT se remarca prin concentrarea sa asupra rutelor de aprovizionare industriala si a infrastructurii de logistica operationala. Grupul tinteste in mod special operatori ai lanturilor de transport, inclusiv companii din sectorul feroviar, naval si rutier care folosesc sisteme OT pentru automatizarea proceselor. Intentiile acestui grup par sa fie orientate spre acces extins in infrastructuri, obtinerea de credentiale privilegiate si explorarea posibilitatii de a perturba fluxurile de transport prin manipularea sistemelor de control.

SPINNER HABIT foloseste tehnici de tip living-off-the-land si exploateaza instrumentele legitime din mediile industriale pentru a evita detectia. De asemenea, este unul dintre putinele grupuri care au demonstrat interes pentru protocoalele industriale specifice sectorului de mobilitate, cum ar fi CAN, CIP sau DNP3, ceea ce indica investitii semnificative in dezvoltarea de capabilitati specializate. Scopul final pare a fi obtinerea unui nivel profund de vizibilitate operationala, ceea ce poate constitui baza pentru operatiuni viitoare de sabotaj sau extorcare.

3. EMERALD SPECTER

EMERALD SPECTER este considerat cel mai misterios dintre cele trei noi grupuri, avand un mod de operare discret si un focus direct pe furt de proprietate intelectuala si colectare avansata de informatii industriale. Grupul a demonstrat un interes accentuat pentru sistemele ICS folosite in sectorul manufacturier si in industrii de precizie, inclusiv productia de componente semiconductoare, echipamente automatizate si senzori industriali. Analiza comportamentala arata ca grupul mizeaza pe infiltrarea lenta si pe mentinerea accesului pe termen lung fara perturbarea proceselor.

EMERALD SPECTER pare sa foloseasca un set de instrumente avansate, multe dintre ele dezvoltate pentru a rula direct pe sisteme embedded si controllere industriale. Exista indicii ca grupul foloseste tactici de firmware harvesting, extragand informatii despre implementarea interna a componentelor industriale. Aceasta abordare este rara si reprezinta un semn al unui actor avansat, posibil sponsorizat de un stat, interesat sa replice sau sa compromita infrastructuri industriale strategice.

Motivele pentru care ICS OT devin tinte strategice

Ecosistemul ICS OT reprezinta un obiectiv major pentru actorii malitiosi deoarece poate genera impact fizic, financiar si geopolitic semnificativ. Spre deosebire de sistemele IT traditionale, sistemele industriale controleaza direct procese fizice care influenteaza infrastructura critica la nivel national. De aceea, atacurile asupra acestor medii pot produce intreruperi ale energiei, oprirea productiei, incidente de mediu sau chiar riscuri pentru siguranta populatiei. Pe masura ce conectivitatea creste, expunerea devine inevitabil mai mare, iar adversarii se specializeaza pentru a exploata aceasta realitate.

Tehnici si tactici comune folosite de noile grupuri

Cele trei grupuri analizate adopta un set de tehnici comune, aliniate adesea cu cadrul MITRE ATT&CK for ICS. Aceste tactic adaptate mediilor industriale includ exploatarea vulnerabilitatilor din zona IT a retelei, pivotarea catre domeniul OT si folosirea protocoalelor industriale pentru colectare de informatii sau manipulare de procese. Asemenea tehnici se concentreaza pe persistenta, stealth si stabilirea unui nivel ridicat de control asupra componentelor industriale esentiale.

    – Exploatarea sistemelor IT slab securizate ca punct de intrare in mediile OT.
    – Recunoastere aprofundata a retelelor ICS pentru cartografierea fluxurilor industriale.
    – Colectare de credentiale privilegiate pentru control operational.
    – Exploatarea protocoalelor industriale pentru acces persistent.
    – Utilizarea instrumentelor legitime pentru a evita detectia in retelele OT.

Impactul global al intensificarii atacurilor ICS OT

Cresterea numarului de grupuri orientate catre ICS OT reprezinta o amenintare globala deoarece afecteaza sectoare critice precum energia, transporturile, productia industriala si utilitatile esentiale. Atacurile pot duce la intreruperi pe scara larga, compromiterea sigurantei fizice sau chiar consecinte geopolitice. In 2025, mai multe incidente raportate arata un interes crescut al adversarilor de a exploata vulnerabilitati din SCADA si PLC pentru a obtine control asupra unor procese industriale esentiale.

Strategii de aparare pentru organizatii

Protectia infrastructurilor ICS OT necesita o abordare multidimensionala, care combina tehnologia, procesele si educatia. Organizatiile trebuie sa adopte un model de securitate centrat pe segmentare, monitorizare continua si vizibilitate end-to-end asupra componentelor industriale. In acelasi timp, colaborarea cu autoritati nationale si furnizori specializati devine un factor cheie pentru detectarea timpurie a activitatilor suspecte.

    – Implementarea segmentarii stricte intre retelele IT si OT.
    – Monitorizarea traficului industrial pentru anomalii comportamentale.
    – Actualizarea ciclica a firmware-ului si aplicarea patch-urilor de securitate.
    – Utilizarea tehnologiilor de threat detection specializate ICS.
    – Training continuu pentru echipele OT si IT privind amenintarile emerging.

Concluzie

Aparitia celor trei noi grupuri identificate de Dragos confirma ca peisajul amenintarilor ICS OT evolueaza rapid, iar adversarii investesc resurse semnificative in dezvoltarea de capabilitati orientate catre manipularea proceselor industriale. Aceasta tendinta demonstreaza necesitatea stringenta a unui nivel mai ridicat de maturitate in securitatea cibernetica industriala. Infrastructurile critice reprezinta un pivot fundamental pentru stabilitatea nationala, iar organizatiile trebuie sa isi consolideze strategiile defensive pentru a preveni atacurile care pot avea impact fizic, operational si geopolitic.

Cu siguranta ai inteles care sunt noutatile din 2026 legate de securitate cibernetica. Daca esti interesat sa aprofundezi cunostintele in domeniu, te invitam sa explorezi gama noastra de cursuri structurate pe roluri si categorii din CYBERSECURITY HUB. Indiferent daca esti la inceput de drum sau doresti sa iti perfectionezi abilitatile, avem un curs potrivit pentru tine.