Passa ai contenuti principali

Il fantasma di Stuxnet. Quanto siamo pronti a fermare un attacco simile nel 2025

Quindici anni dopo la scoperta di Stuxnet, il malware che nel 2010 dimostrò la possibilità concreta di sabotare un impianto industriale attraverso il codice, la domanda sul ripetersi di un’operazione simile è più attuale che mai. All’epoca, la combinazione di zero-day Windows, driver firmati con certificati contraffatti e la manipolazione dei PLC Siemens che controllavano le centrifughe iraniane segnarono una svolta epocale: per la prima volta un’arma informatica aveva prodotto un effetto fisico su larga scala, nascosta dietro feedback falsificati che trassero in inganno gli operatori. Non era un malware generico, né un ransomware, ma una vera e propria operazione militare digitale disegnata per un obiettivo specifico.

Dal 2010 al 2025 lo scenario è cambiato radicalmente. Le infrastrutture industriali sono sempre più connesse con reti IT e servizi cloud, ampliando una superficie d’attacco che un tempo era confinata in ambienti isolati. Le tecniche offensive si sono evolute: non solo malware complessi ma anche attacchi alla supply chain, campagne di spear phishing mirate a ingegneri OT e intrusioni “malware-less” che si basano su strumenti legittimi per non farsi rilevare. Allo stesso tempo, la difesa ha fatto passi avanti, con normative più stringenti, programmi di resilienza e una maggiore consapevolezza. Tuttavia, molte reti ICS restano fragili, ancorate a sistemi legacy e a procedure operative poco segmentate, che rendono ancora realistica l’ipotesi di attacchi capaci di generare interruzioni o danni fisici.

Se parlare di un nuovo Stuxnet identico all’originale è poco realistico, considerata la specificità dell’obiettivo e il livello di rumore che un’operazione simile oggi produrrebbe, il rischio di attacchi distruttivi contro impianti critici non è affatto teorico. Negli ultimi anni sono aumentati gli episodi di intrusioni mirate a infrastrutture energetiche, idriche e manifatturiere con tecniche avanzate capaci di interferire con i processi industriali. La differenza rispetto al 2010 è che oggi non occorre per forza un codice monolitico come Stuxnet: la combinazione di accessi prolungati, exploit mirati, manipolazione della supply chain e intelligenza artificiale è sufficiente per replicare gli stessi effetti.

Il timore verso attori statali gioca un ruolo centrale. Il Mossad è spesso indicato come una delle agenzie con capacità tecniche e operative in grado di concepire e condurre operazioni di sabotaggio digitale, e la sua fama alimenta la percezione che un “nuovo Stuxnet” possa avere una matrice israeliana. In realtà, diversi attori globali hanno dimostrato abilità simili, e il panorama attuale è dominato da operazioni complesse dove la paternità è spesso mascherata o simulata attraverso false flag. Per chi difende, la questione più importante non è attribuire ma capire quali tecniche, procedure e tattiche un attore di livello statale potrebbe impiegare e come intercettarle prima che si traducano in danni reali.

Gli indicatori di preparazione a un attacco industriale sono molteplici: accessi anomali a workstation di ingegneria, modifiche sospette nei sistemi di controllo, campagne di phishing rivolte al personale OT, presenza di strumenti di ricognizione specifici per PLC o firmware. La correlazione di questi segnali, più che il singolo evento, può rivelare un’operazione in corso. Qui si gioca la vera sfida della difesa: segmentazione reale tra reti IT e OT, monitoraggio dei comandi e dei log industriali, verifica rigorosa della supply chain, esercitazioni pratiche basate su scenari di sabotaggio e un costante scambio di informazioni tra settore pubblico e privato.

Il bilancio nel 2025 è chiaro: un clone di Stuxnet è improbabile, ma l’evoluzione tecnologica e geopolitica rende più plausibile che mai la comparsa di operazioni diverse ma con la stessa portata distruttiva. Non è tanto un singolo colpo spettacolare a dover preoccupare, quanto la possibilità di una erosione costante della resilienza degli impianti critici, spesso ancora poco protetti e fortemente dipendenti da fornitori vulnerabili. La priorità deve restare ridurre la superficie d’attacco, accelerare le capacità di rilevamento e garantire la continuità operativa in caso di compromissione. Solo così la lezione di Stuxnet continuerà a produrre frutti invece di trasformarsi in un monito rimasto inascoltato.
Tag:

Commenti

Posta un commento

Popolari

CTF, talento e gioco di squadra. Il Team Italy pronto alla sfida europea

A Torino è stata presentata la squadra nazionale italiana di cybersicurezza, il Team Italy 2025-2026, composta da dieci studenti selezionati tra licei, istituti tecnici e università chiamati a rappresentare l’Italia nelle prossime competizioni nazionali e internazionali. La squadra parteciperà, a ottobre, allo European Cybersecurity Challenge che si terrà a Varsavia: una vetrina importante dove i giovani talenti mettono alla prova tecniche di difesa e attacco in scenari simulati e controllati. Alla base della preparazione c’è un approccio pratico e collettivo: training e addestramento gratuiti organizzati dal Cybersecurity National Lab del CINI, che trasformano il gioco in formazione concreta per professionisti di domani. Questo percorso mostra come il mondo delle CTF (capture the flag) non sia solo svago ma una palestra fondamentale per allenare competenze applicabili alla protezione di infrastrutture strategiche come ospedali, scuole e aeroporti. Le CTF vanno celebrate: offrono scena...
Posta un commento
Continua a leggere »

iPhone 17 Pro, la nuova frontiera della sicurezza Apple

Apple ha presentato con la serie iPhone 17 (incluse le versioni Pro) una delle sue evoluzioni più importanti in ambito sicurezza, puntando esplicitamente a contrastare spyware sofisticati e vulnerabilità di memoria – tipico punto di ingresso per attacchi mirati. Ecco cosa cambia davvero, cosa resta da fare e perché queste novità sono rilevanti per chi si occupa di sicurezza informatica. Quando si parla di sicurezza sui nuovi iPhone 17 Pro, le innovazioni più significative sono: - Memory Integrity Enforcement (MIE): nuova protezione hardware/software “always-on” che combina vari meccanismi per impedire exploit basati su bug di memoria. - Enhanced Memory Tagging Extension (EMTE): è il “cuore” della protezione, su cui si basa la gestione più sicura della memoria, con tagging, confidenzialità dei tag, e allocatori di memoria più robusti. - Applicazione difensiva su aree sensibili del sistema, incluso il kernel e più di settanta processi “userland” considerati ad alto rischio. - MIE avrà ef...
Posta un commento
Continua a leggere »