La Cybersecurity and Infrastructure Security Agency (CISA) ha emesso un allarme di cybersecurity per il settore energetico statunitense a seguito di una serie di attacchi informatici distruttivi alle infrastrutture energetiche in Polonia. L’allarme invita gli operatori a rivedere le password predefinite e a rafforzare le protezioni sui dispositivi connessi a internet dopo che l’incidente di dicembre ha messo in luce vulnerabilità nella tecnologia operativa e nei sistemi di controllo.
L’incidente in Polonia è avvenuto il 29 dicembre 2025, quando più impianti, tra cui più di 30 impianti eolici e solari, una centrale termica e elettrica combinata e un sito produttivo, sono stati prese di mira in attività malizzate coordinate, secondo un’analisi del Computer Emergency Response Team (CERT-PL) della Polonia. Gli attaccanti hanno ottenuto accesso a dispositivi edge connessi a internet come firewall, gateway di rete privata virtuale (VPN) e altri sistemi con credenziali predefinite o deboli.
Una volta all’interno della rete, gli attaccanti hanno distribuito malware distruttivo che corrompeva il firmware sulle unità terminali remote (RTU), cancellato dati sulle interfacce uomo-macchina (HMI) e cancellato dati dai sistemi IT aziendali, afferma l’allarta. Queste azioni hanno interrotto la capacità degli operatori di monitorare e controllare le infrastrutture critiche, anche se la produzione di energia negli impianti di energia rinnovabile interessati sarebbe proseguita durante l’incidente.
Nel suo avviso, CISA ha evidenziato che i dispositivi edge rivolti a internet restano un obiettivo primario per gli attori minacci. Questi dispositivi collegano i sistemi di controllo interni a reti più ampie e possono fornire un punto di ingresso agli attaccanti quando si trovano con credenziali di accesso predefinite o riutilizzate e protezioni di autenticazione deboli. Il consiglio ha invitato le organizzazioni a sostituire le apparecchiature di fine vita e a far rispettare la modifica delle password per tutti i dispositivi.
Le linee guida hanno anche evidenziato il rischio rappresentato dalla tecnologia operativa che manca di verifica del firmware. In alcuni casi, dispositivi privi di meccanismi per validare l’integrità del firmware possono essere danneggiati permanentemente da codice dannoso o da modifiche di configurazione corrotti. CISA raccomandava agli operatori di dare priorità agli aggiornamenti che supportano la verifica del firmware, ove possibile, e di assicurarsi che i piani di risposta agli incidenti tengano conto dei potenziali fallimenti OT.
L’analisi polacca del CERT attribuì l’incidente a una campagna deliberata e dirompente, allineata con tensioni geopolitiche più ampie, anche se al momento non furono segnalati grandi blackout. L’uso delle credenziali predefinite per ottenere un accesso iniziale ha sottolineato il rischio persistente di svissute di base nella sicurezza negli ambienti di infrastrutture critiche.
Nel suo allerta, CISA ha incoraggiato le aziende energetiche statunitensi e altri operatori di infrastrutture critiche a rivedere i risultati tecnici del CERT-PL e a integrare le misure di sicurezza raccomandate nelle loro operazioni. Questi includono l’applicazione dell’autenticazione multifattoriale quando possibile, la riduzione dell’esposizione di rete per sistemi OT e di controllo industriale, e la rimozione di hardware non supportato o vulnerabile dal servizio.
L’agenzia si è recentemente concentrata sulla riduzione dei rischi derivanti da apparecchiature di rete non protette. In una direttiva separata emessa alle agenzie federali, CISA ha ordinato la rimozione dei dispositivi edge non supportati dai sistemi governativi, riflettendo una più ampia spinta a chiudere i percorsi di attacco comuni sfruttati in recenti incidenti.
L’allarme fa parte di una linea guida continua delle autorità di sicurezza statunitensi volte a rafforzare le protezioni nell’energia, nella manifattura e in altri settori che si basano su tecnologie operative interconnesse. L’avviso della CISA serve come promemoria sull’importanza dell’igiene informatica di base, compreso il cambio delle password predefinite e l’applicazione di standard di configurazione sicuri per tutti i dispositivi connessi a Internet.