Infrastrutture critiche la cyberwar prende di mira gli allarmi OT
Team82 di Claroty analizza le campagne legate all’Iran contro sistemi di allerta e PA: l’OT legacy diventa leva per colpire fiducia pubblica e servizi essenziali OT.
La sicurezza delle infrastrutture critiche non passa più soltanto dalla protezione di reti industriali, impianti produttivi, data center o sistemi SCADA.
La nuova frontiera del rischio OT riguarda anche ciò che i cittadini percepiscono in modo diretto: sirene, messaggi sonori, sistemi di allerta precoce e apparati Public Address utilizzati per comunicazioni di emergenza.
L’analisi pubblicata dal Team82 di Claroty descrive un cambio di passo nel confronto digitale tra Iran e l’alleanza composta da Israele e Stati Uniti.
Secondo i ricercatori, alcuni attori legati all’Iran avrebbero preso di mira sistemi di allarme e diffusione sonora con un obiettivo che va oltre la compromissione tecnica: indebolire la fiducia della popolazione nelle infrastrutture di protezione civile e generare disorientamento nei momenti di massima tensione.
Non si tratta quindi solo di cyberattacchi contro asset OT, ma di operazioni cyber-psicologiche.
La superficie d’attacco non è più limitata alla continuità operativa dei servizi essenziali: arriva a toccare la percezione della sicurezza, la credibilità delle istituzioni e la capacità dei sistemi pubblici di comunicare con tempestività in caso di emergenza.
CyberAv3ngers e Handala, due campagne con un obiettivo comune
Nel report di Team82 emergono due nomi: CyberAv3ngers e Handala.
Il primo gruppo, collegato all’ecosistema cyber vicino all’Iran, avrebbe rivendicato l’accesso non autorizzato a sistemi di allerta e apparati esposti su Internet.
Handala, invece, viene ricondotto a una precedente operazione che avrebbe sfruttato una compromissione della catena di gestione di sistemi PA e sirene.
Le modalità tecniche sono differenti, ma il punto di convergenza è lo stesso: trasformare dispositivi progettati per diffondere comunicazioni audio in strumenti di pressione psicologica.
Nel caso di CyberAv3ngers, l’attenzione si concentra su endpoint Barix esposti online e sulla vulnerabilità CVE-2024-41700, classificata come falla di information exposure.
Nel caso di Handala, la leva sarebbe stata una compromissione a monte, attraverso una piattaforma di gestione centralizzata.
Il dato più rilevante per il mondo ICT e per il canale è che questi attacchi non puntano necessariamente su tecniche sofisticate in ogni fase.
In molti casi sfruttano una combinazione ben nota agli operatori di sicurezza: asset legacy non censiti, firmware non aggiornati, accessi Internet non necessari, logiche di fiducia deboli e protocolli progettati in epoche in cui la sicurezza non era un requisito nativo.
Il ruolo dei dispositivi Barix e dei flussi Audio over IP
Al centro dell’analisi ci sono i dispositivi Barix, apparati utilizzati per la trasmissione audio su reti IP. Questi sistemi, impiegati in scenari di broadcasting, Public Address e comunicazioni operative, possono diventare un punto critico quando restano esposti online o non vengono aggiornati.
Team82 descrive una catena di compromissione che passa dall’individuazione dei dispositivi, dallo sfruttamento della CVE-2024-41700 e dalla possibilità di ottenere informazioni di configurazione utili a prendere il controllo del flusso audio.
Il punto più delicato riguarda la logica dei flussi Audio over IP prioritari: una volta compromesso il dispositivo o il livello di gestione, l’attaccante può provare a sostituire il flusso legittimo con uno controllato dall’esterno.
In termini operativi, questo significa che un componente apparentemente periferico può assumere un ruolo centrale nella sicurezza cyber-fisica.
Una sirena che non suona, un messaggio audio alterato o una comunicazione falsa possono produrre effetti concreti sulla popolazione, soprattutto se l’attacco avviene in parallelo a una crisi militare, a un’emergenza sanitaria, a un incidente industriale o a un evento climatico estremo.
Quando l’OT legacy diventa un problema di fiducia
La lezione più importante riguarda la gestione delle tecnologie legacy. Molti ambienti OT e cyber-fisici sono costruiti su componenti installati anni fa, spesso ancora funzionanti e quindi percepiti come affidabili. Il problema è che affidabilità operativa e sicurezza informatica non coincidono.
Un apparato che continua a svolgere correttamente il proprio compito può essere comunque vulnerabile, soprattutto se non è presente in un inventario aggiornato, se non è monitorato, se utilizza credenziali deboli o se resta raggiungibile da Internet.
La complessità aumenta perché molti dispositivi OT non possono essere aggiornati con la stessa rapidità dei sistemi IT tradizionali. Le patch possono richiedere interventi manuali, finestre di manutenzione, verifiche di compatibilità e autorizzazioni operative.
Per questo la vulnerabilità non si esaurisce con la pubblicazione di un aggiornamento da parte del vendor. Senza visibilità sugli asset installati, senza una mappatura delle connessioni e senza processi di remediation strutturati, il rischio rimane aperto.
È uno scenario che interessa direttamente system integrator, MSP, MSSP, distributori a valore e partner specializzati in cybersecurity industriale.
La convergenza tra cyberattacco e impatto fisico
Il caso analizzato da Claroty dimostra quanto sia ormai fragile il confine tra mondo digitale e mondo fisico. Colpire un sistema PA o una sirena non equivale a rubare dati o bloccare un server: significa interferire con un meccanismo pensato per proteggere persone e comunità.
In questa prospettiva, la cyber resilienza delle infrastrutture critiche deve includere anche la continuità dei sistemi di comunicazione di emergenza.
Non basta proteggere il perimetro IT aziendale o gli endpoint degli utenti. Occorre estendere governance, monitoraggio e segmentazione anche a dispositivi IoT, apparati audio IP, sistemi di allarme, componenti embedded e piattaforme di gestione remota.
La minaccia è particolarmente insidiosa perché il danno non è soltanto tecnico. Un falso allarme può generare panico.
Un allarme silenziato può ridurre il tempo di reazione. Una comunicazione manipolata può minare la credibilità delle autorità. In tutti questi casi, l’attacco produce un effetto cognitivo e sociale, oltre che informatico.
Cosa devono fare operatori e partner di canale
Per gli operatori delle infrastrutture critiche, la priorità è costruire una visibilità completa sugli asset cyber-fisici.
Significa sapere quali dispositivi sono presenti, quali versioni firmware utilizzano, quali protocolli parlano, quali connessioni Internet mantengono e quali dipendenze hanno con sistemi di gestione centrali o fornitori esterni.
Per il canale ICT si apre un fronte di consulenza ad alto valore. I partner possono aiutare clienti pubblici e privati a mappare l’esposizione OT, ridurre la raggiungibilità diretta da Internet, segmentare le reti, applicare patch dove possibile, sostituire apparati obsoleti, rafforzare l’accesso remoto e introdurre capacità di threat detection specifiche per ambienti industriali e cyber-fisici.
La sicurezza dei sistemi di allerta deve quindi diventare parte integrante dei progetti di cybersecurity OT. Non è più un tema confinato alla protezione industriale tradizionale: riguarda sanità, trasporti, utility, pubbliche amministrazioni, campus, scuole, aeroporti, impianti produttivi e tutte le organizzazioni che dipendono da comunicazioni audio o segnali di emergenza.
Dalla protezione degli asset alla resilienza della popolazione
L’analisi di Team82 porta il dibattito su un piano più ampio. La sicurezza delle infrastrutture critiche non si misura soltanto nella capacità di evitare downtime, ma anche nella capacità di mantenere la fiducia degli utenti finali nei servizi essenziali.
Quando un attaccante riesce a manipolare un sistema di allerta, il bersaglio non è solo il dispositivo vulnerabile. Il vero obiettivo è la relazione tra istituzioni, infrastrutture e cittadini. È qui che la cybersecurity incontra la resilienza sociale.
Per aziende, enti pubblici e partner tecnologici, il messaggio è chiaro: ogni componente connesso può diventare parte della superficie d’attacco. Anche un apparato audio, una sirena o un sistema di diffusione sonora devono essere trattati come asset critici. Nell’era dei sistemi cyber-fisici, proteggere l’OT significa proteggere anche la fiducia.
Il successo delle applicazioni di intelligenza artificiale trascina la crescita di Vast Data, che supera i 9 miliardi di dollari di valutazione e apre la filiale italiana.
Questo accordo di distribuzione con Red Hat permetterà a Computer Gross di rafforzare la propria posizione sulle soluzioni enterprise software e cloud, supportando l’ecosistema dei partner nelle aree ad elevato potenziale di crescita.
Il distributore ProXima Distribution amplia il portafoglio con le soluzioni di Access Management e MFA di SecurEnvoy, puntando su identità digitali, compliance e crescita estera.
