Il nuovo advisory pubblicato da Cisa, Fbi, Nsa e dai partner occidentali definisce il livello di rischio che i gruppi di hacker filorussi generano grazie alle loro operazioni contro le infrastrutture critiche Usa ed Eu.

Il documento analizza tecniche, strumenti e modalità operative che sfruttano in modo sistematico dispositivi industriali esposti, credenziali deboli e procedure di autenticazione insufficienti. Gli attori filorussi scelgono obiettivi accessibili, non obiettivi rilevanti, e aumentano la probabilità di incidenti operativi in settori essenziali. La minaccia cresce perché un numero crescente di sistemi industriali mantiene una superficie d’attacco ampia e poco controllata.

Mentre gli Stati Uniti analizzano questo scenario, il Regno Unito collega il proprio fronte di sicurezza al tema e sanziona due aziende cinesi che conducono operazioni intrusive contro reti governative e industriali. Londra considera queste società parte di un ecosistema che fornisce capacità offensive alla filiera cyber cinese. Le due iniziative, americana e britannica, convergono sulla concezione del dominio digitale come un ambiente multi-vettore che unisce gruppi ideologici, contractor privati e strutture statali in uno spazio operativo che richiede procedure di difesa più rigorose e più rapide.

Gli hacker del Cremlino

Il nuovo Joint Cybersecurity Advisory pubblicato da Cisa, Fbi, Nsa e un’ampia coalizione di partner occidentali segnala il livello di gravità attribuito alla minaccia. Le diciotto pagine che seguono descrivono un ecosistema di gruppi filorussi che non operano con la sofisticazione di un’unità Apt, ma con un attivismo opportunistico e distruttivo che punta alle infrastrutture critiche attraverso vulnerabilità elementari e spesso trascurate.

Il dossier traccia un panorama di attacchi che sfruttano dispositivi Hmi e connessioni Vnc lasciate esposte a internet, dove gli attaccanti usano strumenti di scansione pubblici, password deboli e una conoscenza approssimativa dei sistemi che cercano di manipolare. A pagina tre, il documento nota che questi gruppi, Cyber Army of Russia Reborn, NoName057(16), Z-Pentest, Sector16, penetrano negli impianti industriali con tecniche rudimentali e cause di impatto variabile, dall’interruzione temporanea della supervisione ai costi di ripristino affrontati dagli operatori, fino ai rari casi di danno fisico potenziale registrati in ambienti produttivi vulnerabili

La cifra più interessante della valutazione americana ed europea riguarda però l’intenzionalità. Gli aggressori ciò che trovano, non ciò che conta. E proprio questa metodica li rende particolarmente pericolosi.

Il rapporto documenta intrusioni in strutture idriche, impianti alimentari, miniere, fattorie, e mostra come gruppi privi di competenze settoriali riescano comunque a manipolare parametri industriali, disattivare allarmi, creare perdita di controllo e produrre disservizi che costringono gli operatori a intervenire manualmente. L’impatto non nasce dall’eccellenza tecnica, ma dalla combinazione di superficialità e volume. L’immagine che emerge somiglia a una forma di vandalismo digitale amplificato da una narrazione propagandistica che sfrutta video, screenshot e canali Telegram per trasformare ogni intrusione in un trofeo politico.

Gli Stati Uniti e i partner interpretano questa proliferazione come un effetto strutturale della guerra russa in Ucraina, un ambiente ibrido in cui Mosca tollera, incoraggia o orienta gruppi semi-indipendenti che contribuiscono a saturare lo spazio digitale con attacchi a bassa soglia, difficili da prevedere e impossibili da ignorare.

Le azioni di Pechino

Mentre Washington diffonde questo allarme globale, Londra sceglie di intervenire sul fronte parallelo della minaccia cinese. Il Foreign Office ha annunciato sanzioni contro due aziende tecnologiche di Chengdu, i-Soon e Integrity Tech, accusandole di attacchi “spericolati e indiscriminati” che avrebbero coinvolto oltre ottanta sistemi governativi e industriali nel mondo.

Il governo britannico sostiene che i-Soon abbia condotto operazioni autonome e fornito assistenza ad altri attori, mentre Integrity Tech avrebbe controllato reti coperte utilizzate per colpire anche sistemi pubblici del Regno Unito.

Londra formula l’accusa nel contesto di un ecosistema cyber cinese che, secondo la Ncsc, quasi certamente supporta operazioni legate allo Stato attraverso una rete di società di sicurezza, broker di dati e gruppi di hacker mercenari.

L’intreccio tra la valutazione americana e l’azione britannica costruisce un quadro nel quale la minaccia russa appare rumorosa, caotica e alimentata da gruppi statali o ideologici che trasformano l’incompetenza tecnica in rischio sistemico.

Dall’altro lato, la Cina viene descritta come un attore strutturato, dotato di un settore cyber ampio e integrato, capace di danneggiare la sicurezza occidentale non attraverso l’anarchia, ma attraverso un’industria che fornisce servizi, infrastrutture e supporto operativo a clienti che includerebbero anche i servizi di intelligence di Pechino.

Il fronte cibernetico

Gli Stati occidentali si trovano di fronte a un doppio fronte. Quello russo, che minaccia la stabilità attraverso gruppi che operano sotto la soglia dell’attribuzione e che colpiscono infrastrutture critiche in modo casuale; e quello cinese, che proietta potenza cibernetica attraverso attori privati che agiscono come estensioni esternalizzate dell’apparato statale.

Nel loro insieme, queste due dimensioni mostrano il cyberspazio come un mercato affollato in cui si muovono attori statali e ibridi che reinterpretano la categoria di “minaccia”, costringendo le democrazie liberali ad un approccio più reattivo che possa intervenire prima delle, spesso tardive, risposte giuridiche tout court.