La parte più pericolosa dell’attacco è avvenuta mesi prima che qualcuno lo sapesse

Il 29 dicembre 2025, quando la Polonia era già afflitta da tempeste di neve e temperature sotto zero poco prima del nuovo anno, un attacco informatico coordinato ha colpito più di 30 parchi eolici e solari, oltre a una centrale termica ed elettrica che ha riscaldato quasi mezzo milione di persone. Il Primo Ministro Donald Tusk in seguito lo definì un atto di sabotaggio russo con un chiaro obiettivo: causare un blackout in pieno inverno. 

Quando l’attacco iniziò, il gruppo dietro di lei era silenzioso all’interno della fabbrica della CHP per mesi. 

Questo dettaglio, documentato nell’analisi tecnica pubblicata da CERT Polska nel gennaio 2026, è la parte di questa storia che merita più attenzione. La fase distruttiva del 29 dicembre non fu un colpo di forza opportunistico. Fu il culmine di un’infiltrazione prolungata dei pazienti, durante la quale gli attaccanti raccolsero dati operativi, aumentarono i privilegi e mappareno meticolosamente i sistemi dell’impianto per sapere esattamente dove colpire. Quando finalmente rilasciarono il malware per tergicristalli, il software non era progettato per estorcere ma per cancellare permanentemente i dati, corrompere il firmware e bloccare dispositivi industriali; È stato bloccato all’ultimo minuto dal software di rilevamento delle terminazioni. Nelle sottostazioni di energia rinnovabile in tutta la Polonia, non c’era difesa dell’ultimo minuto. I controller RTU, i relè di protezione e i computer HMI venivano messi offline uno dopo l’altro; Il firmware era corrotto, i file di sistema cancellati e gli operatori in tutto il paese persero visibilità e controllo remoto delle strutture che gestivano ininterrottamente per anni. L’elettricità continuava a verificarsi, ma la capacità di monitorare, modificare o reagire dall’esterno della recinzione era sparita. 

CERT Polska attribuì gli attacchi agli ammassi Static Tundra, Berserk Bear e Ghost Blizzard, che ha valutato come collegati al FSB russo. Dragos ed ESET, in analisi separate, hanno attribuito questa attività con moderata fiducia a Sandworm, il gruppo legato al GRU responsabile degli attacchi alle infrastrutture elettriche ucraine dal 2015. L’attribuzione esatta conta meno della realtà tecnica che mette in evidenza: un attore sofisticato, ben dotato di risorse con una conoscenza dimostrata dei sistemi di controllo industriale, mesi di accesso ininterrotto alle infrastrutture critiche e la capacità di causare conseguenze fisiche su larga scala. 

CISA ha emesso un allarme globale nel febbraio 2026, amplificando il rapporto CERT Polska. Il punto di ingresso a ciascun sito era coerente: dispositivi VPN FortiGate connessi a Internet configurati senza autenticazione multifattore e credenziali riutilizzate in più di 30 sedi. Gli assalitori non dovevano fare nulla di particolarmente astuto una volta entrati. L’architettura in atto, comune a molti ambienti OT distribuiti, creava un’apertura che poteva essere sfruttata con poca sofisticazione. 

Il problema dell’accesso che continua a ripresentarsi 

L’X-Force Threat Intelligence Index 2026 di IBM indica la manifattura come l’industria più attaccata al mondo per il quinto anno consecutivo, rappresentando il 27,7% di tutti gli attacchi informatici. Il costo medio di una violazione nel settore industriale è aumentato del 18% su base annua nel 2024, raggiungendo i 5,56 milioni di dollari, secondo il rapporto IBM 2024 sul costo di una violazione dei dati. Il tempo medio per identificare una violazione in un ambiente EO è di 199 giorni. In Polonia, gli assalitori rimasero presenti molto più a lungo prima di essere individuati. 

Negli episodi di straordinari, il modello di come gli attaccanti ottengono e mantengono l’accesso è coerente. Entrano attraverso un’infrastruttura di connettività remota, tipicamente tramite percorsi di fornitori o terzi stabiliti per ragioni operative legittime ma senza i controlli necessari per renderli verificabili o contenuti. Si muovono lateralmente per settimane o mesi, affrontando l’escalation dei privilegi e il riutilizzo del titolo. Negli ambienti in cui le reti IT e OT non sono adeguatamente segmentate, questo movimento raggiunge infine la tecnologia operativa. Il danno, quando si verifica, dipende non solo dalla sofisticazione dell’aggressore, ma anche dal grado di libertà di movimento che l’ambiente ha inconsapevolmente concesso loro. 

Risolvere questo problema non richiede una revisione della sicurezza lunga e dirompente che preoccupi davvero gli operatori OT. Niente di tutto ciò è semplice da implementare in ambienti dove la disponibilità è non negoziabile, le risorse hanno decenni e i team di sicurezza spesso lavorano con risorse limitate. I controlli che avrebbero cambiato l’esito in Polonia sono specifici e ben compresi. Ogni sessione remota in un ambiente OT dovrebbe richiedere l’approvazione esplicita del team OT prima dell’apertura, e ogni azione in quella sessione dovrebbe essere registrata in un record a prova di manomissione. Il riutilizzo di titoli di studio tra le località è comune negli ambienti EO distribuiti, in parte perché la rotazione sistematica su larga scala, senza interrompere le operazioni in corso, è in realtà difficile, ma è anche la condizione più praticabile per la portata laterale, e l’accesso centralizzato alle credenziali è il modo più diretto per ridurre questa esposizione. Il confine IT/OT dovrebbe essere applicato a livello di rete piuttosto che assunto, così che un conto aziendale compromesso non possa accedere all’infrastruttura operativa senza attraversare un checkpoint monitorato. E quando si presenta un problema, l’organizzazione deve essere in grado di terminare simultaneamente tutti gli accessi esterni, sospendere i singoli account e mantenere la produzione interna in corso. Allo stesso tempo, la minaccia è isolata, non dovendo scegliere tra contenimento e continuità. 

Niente di tutto ciò è teorico. L’impianto polacco della CHP aveva una protezione a fine fine fine che fermava il tergicristallo all’ultimo momento. Se l’organizzazione avesse avuto anche visibilità di mesi di movimento laterale tramite i suoi account privilegiati, l’attacco non sarebbe arrivato a questo punto. L’architettura di gestione degli accessi che sostiene questo tipo di visibilità è la stessa che NIS2 ora richiede per le entità critiche in Europa: controlli di accesso documentati, autenticazione multifattore, governance della catena di approvvigionamento e processi di gestione degli incidenti testati, con la direzione personalmente responsabile per fallimenti e multe fino a 10 milioni di euro.  cioè il 2% del fatturato annuo mondiale. 

Costruire resilienza prima di averne bisogno 

Nella sicurezza delle terapie occupazionali si tende a considerare la resilienza come qualcosa da considerare solo dopo che la prevenzione è fallita. L’episodio in Polonia è un forte argomento contro questa inquadrazione. Gli assalitori erano all’interno molto prima della fase distruttiva. La prevenzione, nel senso di tenerli completamente fuori, era già fallita quando qualcuno si accorse che c’era un problema. Ciò che determinava l’esito era se l’organizzazione disponesse dei controlli necessari per rilevare movimenti laterali, limitare i danni e recuperare rapidamente; Su questo punto, la situazione era altalenante. Il tergicristallo era bloccato; le sottostazioni rinnovabili non lo erano. 

Le organizzazioni che prendono sul serio il caso polacco si pongono due domande. Innanzitutto, hanno una vera visibilità su chi ha accesso privilegiato al loro ambiente OT, cosa possono ottenere quegli account e se qualsiasi accesso a tale accesso sia attualmente anomalo? Secondo, se qualcosa fosse già presente nella rete oggi, quali controlli esistono per rilevarlo, contenerlo e rispondervi senza disabilitare i sistemi da cui dipende l’azienda? 

L’attaccante in Polonia operò inosservato per mesi. La domanda pratica che segue non è se qualcosa di simile possa accadere altrove. Serve a sapere se esistono controlli, così da essere meno importanti quando è il caso.