Attacco giornalistico diretto: Cyber attacchi coordinati contro strutture energetiche

Il 29 dicembre 2025, il team di risposta alle emergenze informatiche della Polonia (CERT Polska) ha rivelato che sono stati effettuati attacchi coordinati contro più di 30 centrali eoliche e fotovoltaiche, un'azienda privata del settore manifatturiero e una grande centrale termoelettrica che fornisce calore a quasi mezzo milione di clienti nel paese.

L'agenzia ha attribuito gli attacchi a un gruppo di minacce chiamato Static Tundra, anche noto come Berserk Bear, Blue Kraken, Crouching Yeti, Dragonfly, Energetic Bear, Ghost Blizzard (precedentemente Bromine) e Havex. Static Tundra è valutato essere legato all'unità del Servizio Federale di Sicurezza della Russia (FSB) nota come Centro 16.

Tutti gli attacchi avevano un obiettivo puramente distruttivo, secondo quanto dichiarato da CERT Polska in un rapports. Tuttavia, gli attacchi contro le centrali energetiche rinnovabili non hanno interrotto la produzione di elettricità e l'attacco alla centrale termoelettrica non è riuscito a disturbare l'erogazione del calore agli utenti finali.

Gli attaccanti sono stati in grado di accedere alla rete interna dei sottostazioni energetiche associate a una centrale energetica rinnovabile per condurre attività di ricognizione e distruzione, tra cui il danneggiamento del firmware dei controller, la cancellazione dei file di sistema o l'utilizzo di un malware wiper personalizzato chiamato DynoWiper rilevato da ESET.

Nella violazione mirata alla centrale termoelettrica, l'avversario ha effettuato un furto di dati a lungo termine che risale a marzo 2025, consentendogli di aumentare i privilegi e spostarsi lateralmente nella rete. Tuttavia, i tentativi degli attaccanti di detonare il malware wiper sono stati infruttuosi.

Si ritiene che l'attacco contro l'azienda del settore manifatturiero sia stato opportunistico, con il gruppo di minacce che ha ottenuto l'accesso iniziale attraverso un dispositivo perimetrale Fortinet vulnerabile. L'attacco mirato al punto di connessione della rete è probabile che abbia comportato l'esploit di un'appliance FortiGate vulnerabile.

Sono state scoperte almeno quattro diverse versioni di DynoWiper fino ad oggi, che sono state distribuite sui computer HMI Mikronika utilizzati dalla centrale energetica e su una condivisione di rete all'interno della centrale termoelettrica dopo aver ottenuto l'accesso attraverso il servizio SSL-VPN del dispositivo FortiGate.

Il funzionamento del malware wiper è relativamente semplice: involve l'inizializzazione che implica la semina di un generatore di numeri pseudocasuali (PRNG) chiamato Mersenne Twister, l'enumerazione dei file e la loro corruzione utilizzando il PRNG, quindi la cancellazione dei file. Tuttavia, il malware non ha un meccanismo di persistenza, un modo per comunicare con un server di comando e controllo (C2) o eseguire comandi shell.

L'attacco contro l'azienda del settore manifatturiero ha coinvolto l'uso di un wiper basato su PowerShell chiamato LazyWiper che scrive sequenze casuali di 32 byte sui file del sistema per renderli irrimediabilmente

**ANALISI TECNICA** Gli attacchi coordinati sferrati contro più di 30 centrali eoliche e fotovoltaiche, un'azienda privata del settore manifatturiero e una grande centrale termoelettrica a combinazione (CHP) che fornisce calore a quasi mezzo milione di clienti in Polonia, sono stati attribuiti al cluster minaccia denominato [Static Tundra](https://thehackernews.com/2025/08/fbi-warns-russian-fsb-linked-hackers.html). Static Tundra è valutata come legata all'unità del Centro 16 del Federal'naya Sluzhba Bezopasnosti (FSB) della Russia. È importante notare che recenti rapporti di [ESET](https://thehackernews.com/2026/01/new-dynowiper-malware-used-in-attempted.html) e [Dragos](https://thehackernews.com/2026/01/russian-electrum-tied-to-december-2025.html) hanno attribuito con moderata certezza l'attività a un diverso gruppo di hacker sponsorizzato dallo stato russo noto come Sandworm. Tutti gli attacchi avevano un obiettivo puramente distruttivo. Anche se gli attacchi alle centrali eoliche e fotovoltaiche hanno interrotto la comunicazione tra questi impianti e l'operatore del sistema di distribuzione, non hanno influito sulla produzione continua di elettricità. Analogamente, l'attacco alla centrale termoelettrica a combinazione non è riuscito nell'intento dell'attaccante di interrompere l'erogazione di calore agli utenti finali. Gli attaccanti sono stati in grado di accedere alla rete interna dei sottostazioni di energia rinnovabile per condurre attività di ricognizione e distruttive, inclusa la danneggiamento del firmware dei controller, la cancellazione dei file di sistema o il lancio di malware wiper su misura denominato DynoWiper da ESET. Nell'intrusione mirata alla CHP, l'avversario si è impegnato in un furto di dati a lungo termine che risale addirittura a marzo 2025, consentendogli di elevare i privilegi e spostarsi lateralmente all'interno della rete. I tentativi dell'attaccante di detonare il malware wiper sono risultati infruttuosi, come ha notato CERT Polska. Si ritiene che il targeting del settore manifatturiero sia stato opportunistico, con il threat actor che ha ottenuto l'accesso iniziale attraverso un dispositivo perimetrale Fortinet vulnerabile. L'attacco mirato al punto di connessione della rete è probabile che abbia comportato l'esploit di un'appliance FortiGate vulnerabile. Sono state scoperte almeno quattro diverse versioni di DynoWiper fino ad oggi. Questi variant sono stati distribuiti sui computer HMI Mikronika utilizzati dall'impianto energetico e su una condivisione di rete all'interno della CHP dopo aver ottenuto l'accesso attraverso il servizio SSL-VPN del dispositivo FortiGate. L'attaccante ha guadagnato l'accesso all'infrastruttura utilizzando più account che erano staticamente definiti nella configurazione del dispositivo e non avevano l'autenticazione a due fattori abilitata. L'attaccante si è connesso utilizzando nodi Tor, nonché indirizzi IP polacchi e stranieri, spesso associati a infrastrutture compromesse. La funzionalità del wiper è relativamente semplice: inizializzazione che involve il seme di un generatore di numeri casuali pseudorandom (PRNG) chiamato [Mersenne Twister](https://it.wikipedia.org/wiki/Mersenne_Twister) - enumerazione dei file e corruzione di essi utilizzando il PRNG - cancellazione dei file. È importante menzionare che il malware non ha un meccanismo di persistenza, un modo per comunicare con un server di comando e controllo (C2) o eseguire comandi shell. Inoltre, non tenta di nascondere l'attività dai programmi di sicurezza. L'attacco mirato al settore manifatturiero ha coinvolto l'uso di un wiper basato su PowerShell denominato LazyWiper che script sovrascrive i file del sistema con sequenze pseudocasuali da 32 byte per renderli irrimediabilmente non recuperabili. Si sospetta che la funzionalità di cancellazione principale sia stata sviluppata utilizzando un modello linguistico

Contesto: DI MERCATO/SICUREZZA: Dati, trend correlati, impatto sul settore.

Il 29 dicembre 2025, l'agenzia polacca di risposta alle emergenze informatiche (CERT Polska) ha rivelato che attacchi coordinati hanno preso di mira più di 30 fattorie eoliche e fotovoltaiche, un'azienda privata del settore manifatturiero e una grande centrale termoelettrica (CHP) che fornisce calore a quasi mezzo milione di clienti nel paese.

L'agenzia ha attribuito gli attacchi a un cluster minacce chiamato Static Tundra, anche noto come Berserk Bear, Blue Kraken, Crouching Yeti, Dragonfly, Energetic Bear, Ghost Blizzard (precedentemente Bromine) e Havex. Static Tundra è valutato essere collegato all'unità del Servizio Federale di Sicurezza della Russia (FSB), il Centro 16.

recenti rapporti di ESET e Dragos hanno attribuito l'attività con una certa fiducia a un diverso gruppo di hacker sponsorizzato dallo stato russo noto come Sandworm.

Tutti gli attacchi avevano un obiettivo puramente distruttivo. Anche se gli attacchi alle fattorie energetiche rinnovabili hanno interrotto la comunicazione tra queste strutture e l'operatore del sistema di distribuzione, non hanno influito sulla produzione continua di elettricità. Similmente, l'attacco alla centrale termoelettrica non ha raggiunto l'effetto desiderato dell'attaccante di disturbare l'approvvigionamento di calore ai clienti finali.

Gli attaccanti sono stati in grado di accedere alla rete interna dei sottostazioni elettriche associate a una struttura energetica rinnovabile per condurre attività di ricognizione e distruttive, inclusi danni al firmware dei controller, cancellazione dei file del sistema o l'utilizzo di malware wiper su misura chiamato DynoWiper da ESET.

Nella violazione mirata alla CHP, l'avversario si è impegnato in un furto di dati a lungo termine che risale addirittura a marzo 2025, consentendogli di escalare i privilegi e muoversi lateralmente nella rete. I tentativi dell'attaccante di detonare il malware wiper sono stati infruttuosi, ha notato CERT Polska.

Al contrario, il targeting del settore manifatturiero è stato considerato opportunistico, con l'attore della minaccia che ha ottenuto l'accesso iniziale attraverso un dispositivo perimetrale Fortinet vulnerabile. L'attacco mirato al punto di connessione della rete è probabile che abbia coinvolto l'esploit di un'appliance FortiGate vulnerabile.

Sono state scoperte almeno quattro diverse versioni di DynoWiper finora. Queste varianti sono state distribuite sui computer HMI Mikronika utilizzati dalla struttura energetica e su una condivisione di rete all'interno della CHP dopo aver ottenuto l'accesso attraverso il servizio SSL-VPN del dispositivo FortiGate.

La funzionalità del wiper è relativamente semplice:

  • Inizializzazione che involve semina un generatore di numeri casuali pseudorandom (PRNG) chiamato Mersenne Twister
  • Elencare i file e corromperli utilizzando il PRNG
  • Eliminare i file

È importante menzionare che il malware non ha un meccanismo di persistenza, un modo per comunicare con un server di comando e controllo (C2) o eseguire comandi shell. Né tenta di nascondere l'attività dai programmi di sicurezza.

L'agenzia ha anche descritto alcune similarità a livello di codice tra DynoWiper e altri wipers costruiti da Sandworm come "generali" e non offre prove concrete sul fatto che l'attore della minaccia abbia partecipato all'attacco.

L'attaccante ha utilizzato le credenziali ottenute dall'ambiente on-premise per tentare di accedere ai servizi cloud. Dopo aver identificato le credenziali per cui corrispondenti account esistevano nel servizio M365, l'attaccante ha scaricato i dati selezionati dai servizi come Exchange, Teams e SharePoint.

L'attaccante era particolarmente interessato ai file e alle email relative alla modernizzazione della rete OT, ai sistemi SCADA e al lavoro tecnico svolto all'interno delle organizzazioni.

**STRATEGIA E DIFESA: Consigli pratici per l'utente/investitore**

Proteggere la tua infrastruttura da attacchi informatici

Data l'aumento dei rischi cybernetici, è fondamentale adottare strategie di difesa proattive per proteggere la tua infrastruttura. Ecco alcuni consigli pratici:

  • Mantenere il software aggiornato: Assicurati di avere sempre l'ultima versione dei software e dei sistemi operativi installati sulla tua rete. Gli aggiornamenti includono spesso correzioni per vulnerabilità note.
  • Implementare l'autenticazione a due fattori (2FA): L'autenticazione a due fattori aggiunge un ulteriore livello di sicurezza, rendendo più difficile ai cybercriminali accedere alle tue risorse.
  • Proteggere i dispositivi perimetrali: Assicurati che i dispositivi di rete come firewall e router siano protetti da password robuste e siano costantemente monitorati per eventuali attività sospette.
  • Educare gli utenti: Forma i tuoi dipendenti sulle migliori pratiche di sicurezza informatica, come l'identificazione delle email di phishing e la creazione di password complesse.
  • Backup regolari dei dati: Esegui backup regolari dei dati importanti per garantire che siano sempre disponibili in caso di attacchi ransomware o altri incidenti.

Monitorare e rispondere agli incidenti

È importante essere preparati a individuare e gestire gli incidenti di sicurezza. Ecco alcuni passaggi da seguire:

  • Identificare gli incidenti: Utilizza strumenti di monitoraggio della sicurezza per rilevare attività sospette sulla tua rete.
  • Contenere l'incidente: Una volta identificato un incidente, contenilo il prima possibile per limitare i danni. Questo potrebbe includere la disconnessione dei dispositivi compromessi dalla rete o l'arresto di servizi non essenziali.
  • Rispondere all'incidente: Analizza le cause dell'incidente e adotta misure correttive per prevenirne il ripetersi. Questo potrebbe includere la rimozione di malware, il ripristino dei dati da backup e l'aggiornamento del software.
  • Riferire gli incidenti alle autorità competenti: In caso di attacchi informatici di grandi dimensioni o potenzialmente dannosi, potrebbe essere necessario segnalare l'incidente alle autorità competenti come CERT Polska.

La sicurezza informatica è un'area critica per le aziende e gli utenti privati. Seguendo queste strategie di difesa e adottando misure proattive, puoi proteggere la tua infrastruttura da attacchi informatici e minimizzare i danni in caso di incidenti.

Previsioni future basate sui fatti

L'attacco coordinato contro più di 30 fattorie eoliche e fotovoltaiche, un'azienda privata del settore manifatturiero e una grande centrale termoelettrica a combinazione (CHP) che fornisce calore a quasi mezzo milione di clienti in Polonia ha evidenziato la vulnerabilità del settore energetico ai cyberattacchi. L'attribuzione dell'incidente al cluster minacce Static Tundra, collegato al Servizio Federale di Sicurezza della Russia (FSB), suggerisce che gli attacchi potrebbero essere stati motivati da interessi geopolitici.

recenti rapporti di ESET e Dragos hanno attribuito l'attività con una certa fiducia a un diverso gruppo di hacker sponsorizzato dallo stato russo noto come Sandworm. Ciò potrebbe indicare una maggiore complessità del panorama delle minacce nel settore energetico, con più attori coinvolti.

La scoperta di diverse versioni del malware DynoWiper e l'uso di LazyWiper in attacchi separati suggeriscono che gli attaccanti stanno sviluppando costantemente le loro tecniche per rendere più efficaci i loro attacchi. Inoltre, l'utilizzo di grandi modelli linguistici (LLM) per lo sviluppo del malware potrebbe indicare un aumento dell'adozione di tecnologie avanzate da parte degli attaccanti.

In futuro, è probabile che vediamo un aumento della sofisticazione dei cyberattacchi contro il settore energetico, con attori sempre più abili nell'utilizzo di tecniche avanzate e nel superamento delle difese esistenti. Sarà fondamentale per le aziende del settore energetico mantenere i loro sistemi aggiornati e implementare misure di sicurezza rigorose per proteggere le loro infrastrutture critiche.

Inoltre, la collaborazione tra i paesi e gli organismi internazionali sarà essenziale per contrastare efficacemente le minacce cyber e condividere informazioni sulle attività degli attaccanti. Ciò potrebbe includere lo sviluppo di accordi internazionali per la gestione delle minacce cyber nel settore energetico e l'adozione di standard di sicurezza più rigorosi.

Nota Editoriale e Disclaimer

Le guide e i contenuti pubblicati su GoYou sono frutto di attività di ricerca e analisi indipendente, a scopo informativo, educativo e di approfondimento.

GoYou non costituisce una testata giornalistica né un prodotto editoriale ai sensi della Legge n. 62/2001 e non svolge attività di informazione in tempo reale.

Il progetto GoYou non fornisce consulenza professionale, tecnica, legale o finanziaria e declina ogni responsabilità per l'uso improprio delle informazioni pubblicate.

Nel settore Crypto, ogni investimento comporta rischi: si invita il lettore a informarsi sempre in modo autonomo prima di assumere qualsiasi decisione.