Passa ai contenuti principali

Gli attacchi informatici globali: oltre Stuxnet

 Nel mondo della cybersecurity, il nome "Stuxnet" è ormai leggenda. Questo malware, scoperto nel 2010, ma operativo fin dal 2007, rappresenta una delle prime vere e proprie "cyber-armi" conosciute: progettato per sabotare i sistemi industriali iraniani che gestivano l'arricchimento dell'uranio, ha segnato una svolta epocale nella storia degli attacchi informatici. Ma Stuxnet non è un caso isolato: prima e dopo di lui, altri attacchi informatici hanno avuto un impatto globale, cambiando il modo in cui stati e aziende si difendono nel cyberspazio.

Prima di Stuxnet: i primi segnali

Sebbene nessun attacco precedente avesse la sofisticazione o l'obiettivo strategico di Stuxnet, alcuni episodi hanno anticipato l'evoluzione della guerra cibernetica:

  • 2003 – Slammer worm: un worm che si diffuse in pochi minuti, mandando in tilt numerosi sistemi in tutto il mondo, compresi alcuni legati alla sicurezza nucleare negli USA.

  • 2007 – Attacchi DDoS in Estonia: una disputa con la Russia portò a un massiccio attacco distribuito che colpì banche, media e istituzioni pubbliche, rendendo inaccessibili servizi fondamentali per giorni. Fu uno dei primi esempi di cyber warfare tra nazioni.

Dopo Stuxnet: la cyber guerra continua

Con Stuxnet come precedente, il mondo ha visto una crescente ondata di attacchi sofisticati mirati a infrastrutture critiche, spionaggio industriale e destabilizzazione geopolitica:

  • 2012 – Flame: uno spyware complesso, attivo in Medio Oriente, con funzioni di sorveglianza avanzate. Secondo gli analisti, condivide alcune componenti con Stuxnet e potrebbe essere stato creato dagli stessi autori.

  • 2013 – Havex / Dragonfly: malware usato per spiare e compromettere sistemi SCADA nell'industria energetica europea e statunitense.

  • 2015 – BlackEnergy in Ucraina: il primo attacco informatico con effetto documentato su una rete elettrica nazionale, lasciando oltre 200.000 cittadini senza corrente.

  • 2016 – Industroyer (CrashOverride): progettato per attaccare sottostazioni elettriche, è considerato uno dei malware più evoluti nel suo genere.

  • 2017 – Triton (Trisis): un attacco a un impianto industriale saudita che mirava ai sistemi di sicurezza (SIS), con il potenziale di causare danni fisici e vittime.

  • 2021 – SolarWinds: un attacco alla supply chain che ha colpito enti governativi e aziende private in tutto il mondo. Dimostra come le minacce moderne possano annidarsi nei canali più insospettabili.

Riflessioni: la nuova frontiera della guerra

Questi eventi delineano una realtà sempre più tangibile: la guerra informatica è già iniziata, e si combatte ogni giorno nei data center, nei router e nei PLC. Stati, aziende e anche semplici cittadini sono coinvolti in un conflitto silenzioso ma costante.

La cybersicurezza non è più solo una questione tecnica, ma geopolitica, sociale e strategica.

Consiglio di visione

Per approfondire il caso Stuxnet e comprendere quanto sia reale e pericolosa questa nuova forma di conflitto, consiglio la visione del documentario "Zero Days", disponibile su Netflix. Un'inchiesta impressionante che mostra il lato più oscuro della guerra digitale.

Tag:

Commenti

Posta un commento

Popolari

WinRAR sotto attacco, zero-day critica sfruttata da hacker russi

Il 10 agosto 2025 è stata resa pubblica la vulnerabilità CVE-2025-8088 di WinRAR, una falla di tipo directory traversal già sfruttata in attacchi mirati da RomCom, gruppo hacker legato alla Russia e noto per operazioni di cyber-spionaggio ed estorsione. Il problema risiede nella gestione dei percorsi all’interno di archivi compressi: un file RAR malevolo può includere riferimenti a directory specifiche del sistema, forzando WinRAR a estrarre file in percorsi diversi da quelli scelti dall’utente. In particolare, è possibile copiare eseguibili nelle cartelle di avvio automatico di Windows, come %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup o %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp. Alla successiva accensione del PC, il malware viene avviato in automatico, ottenendo così persistenza sul sistema e potenzialmente consentendo il controllo remoto. Gli attacchi osservati sono stati condotti tramite campagne di spear-phishing: le vittime ricevevano email contenenti...
Posta un commento
Continua a leggere »

Nuovo attacco agli ambienti ibridi Microsoft, l’allarme lanciato a Black Hat. Active Directory ed Entra ID sotto esame, la tecnica che sfida MFA e controlli tradizionali

A Black Hat USA 2025 è stata mostrata una lezione dura ma utile per chiunque gestisca identità e mail aziendali: un ricercatore ha dimostrato come, in certi ambienti ibridi che sincronizzano Active Directory locale con Microsoft Entra ID (ex Azure AD), un account cloud apparentemente a bassa priorità possa essere trasformato in un account “ibrido” con privilegi amministrativi, senza passare dalle normali barriere di autenticazione e senza far scattare gli allarmi tradizionali. La dimostrazione — presentata da Dirk-jan Mollema di Outsider Security — ha messo in luce vettori di abuso legati al server di sincronizzazione (Entra Connect), alle modalità di corrispondenza degli account tra on-prem e cloud (soft matching) e a token/claim usati nei meccanismi di delega e in Exchange ibrido. Per chi non mastica quotidianamente questi termini: molte aziende hanno ancora un Active Directory “dentro l’azienda” per utenti e servizi, e allo stesso tempo usano servizi cloud come Microsoft 365. Per fa...
Posta un commento
Continua a leggere »

Italia, via libera al contrattacco cyber. Il nostro Paese ora può rispondere colpo su colpo

Immagina una stanza blindata, luci basse, grafici e mappe digitali proiettati sulle pareti: in mezzo al tavolo, una decisione da prendere in pochi minuti. È lo scenario che la nuova norma italiana rende possibile, dando al Presidente del Consiglio il potere di autorizzare, dopo consultazione con CISR e Copasir, un contrattacco cibernetico vero e proprio. Non parliamo di alzare firewall o bloccare un IP, ma di operazioni offensive su scala statale, condotte da AISE e AISI, con il coordinamento del DIS e il supporto del Ministero della Difesa. Il quadro è stato reso operativo con il Decreto Sicurezza (DL 48/2025, legge dal 9 giugno), che ha messo nero su bianco procedure, ruoli e condizioni. La norma prevede tre requisiti fondamentali: il bersaglio dev’essere identificabile con alto grado di certezza (ad esempio un gruppo APT o un’infrastruttura C2 specifica), le difese convenzionali devono essersi dimostrate inefficaci e la minaccia deve riguardare la sicurezza nazionale o quella di un...
Posta un commento
Continua a leggere »