Ginevra, dicembre 2024. Una sala riunioni riservata. Da un lato del tavolo: funzionari del Dipartimento di Stato americano, del Consiglio per la sicurezza nazionale, del Pentagono, delle agenzie di intelligence. Dall'altro: Wang Lei, alto funzionario del Ministero degli Esteri cinese, responsabile delle questioni cyber. L'incontro è segreto. Nessun comunicato stampa. Nessuna dichiarazione pubblica. Ma in quella stanza, per la prima volta, Pechino dice qualcosa che nessuno si aspettava.
Maggio 2023: Microsoft scopre qualcosa che era già lì da anni
Il 24 maggio 2023, Microsoft Threat Intelligence pubblica un report che scuote il mondo della cybersecurity: ha scoperto un'operazione su larga scala condotta da un gruppo identificato come Volt Typhoon, attribuito ad attori sponsorizzati dallo Stato cinese. Entro ore, la scoperta è confermata da un advisory congiunto di CISA, NSA e FBI, un atto raro, che segnala la gravità eccezionale della situazione.
Volt Typhoon non assomigliava a nulla di ciò che si era visto prima. Non era un ransomware, non cercava dati finanziari, non voleva soldi. Il suo obiettivo dichiarato era un unico, inquietante: pre-positioning. Entrare nelle infrastrutture critiche occidentali, reti elettriche, acquedotti, telecomunicazioni, porti navali, aeroporti, e rimanerci. In silenzio. In attesa.
"Living off the land": come scomparire dentro un sistema
La tecnica di Volt Typhoon era sofisticata in modo controintuitivo: usare il meno possibile. Nessun malware custom da installare, nessun file sospetto da scaricare. Solo strumenti già presenti in qualsiasi sistema Windows: PowerShell, WMI, tool di amministrazione legittimi. La tecnica si chiama "living off the land": vivere del paese, usare ciò che si trova. Come un infiltrato che non porta niente con sé dalla frontiera, ma usa gli strumenti locali.
Il risultato: un antivirus non vede nulla di anomalo, perché non c'è nessun file malevolo. Un sistema di monitoraggio vede solo operazioni di amministrazione di sistema. Solo un analista esperto, guardando i pattern di comportamento, potrebbe accorgersi che qualcosa non torna.
12 mesi nell'ombra: il caso dell'azienda elettrica del Massachusetts
Tra i casi documentati dopo la scoperta di Volt Typhoon, uno è particolarmente emblematico. Un'azienda elettrica nel Massachusetts: Volt Typhoon era presente nei suoi sistemi, inclusi quelli di tecnologia operativa OT, per quasi un anno prima di essere rilevata. Dodici mesi. Silenzio assoluto. Raccolta di informazioni sull'infrastruttura, sulla topologia della rete, sulle vulnerabilità dei sistemi. Un agente dormiente, perfettamente a suo agio, in attesa.
Non è un caso isolato. Le agenzie di intelligence stimano che Volt Typhoon abbia operato in infrastrutture critiche americane dal 2021, e che analisi successive abbiano rivelato tracce di presenza in sistemi che risalivano anche a prima. Cinque anni di infiltrazione silenziosa. Non in uno, non in dieci, in centinaia di organizzazioni.
Ginevra, dicembre 2024: l'ammissione che non è una confessione
Torniamo a quella sala riunioni a Ginevra. Secondo fonti vicine al dossier, citate dal Wall Street Journal, Wang Lei fece riferimenti velati ma inequivocabili: gli attacchi Volt Typhoon erano collegati al sostegno militare americano a Taiwan. Un messaggio di deterrenza strategica: se gli Stati Uniti fossero intervenuti militarmente in uno scenario nello Stretto di Taiwan, le infrastrutture critiche americane avrebbero potuto essere colpite.
Non fu una confessione formale. Non fu nemmeno una dichiarazione ufficiale. Fu qualcosa di più raffinato: una comunicazione diplomatica trasmessa attraverso il silenzio. "Sappiamo che sapete. E volete che sappiate che siamo lì."
I funzionari americani lasciarono Ginevra con un'unica, sgradita certezza: gli agenti dormienti cinesi non erano un'ipotesi. Erano un fatto.
Lo spionaggio industriale: la dimensione che riguarda le nostre aziende
Volt Typhoon e Sandworm sono operazioni di Stato, con obiettivi geopolitici. Ma accanto a loro, in questo stesso panorama, esiste un ecosistema parallelo di spionaggio industriale che colpisce ogni giorno le imprese, spesso senza che se ne accorgano mai.
Il malware Havex, emerso nel 2013, era progettato esattamente per questo: infiltrarsi nei sistemi SCADA e raccogliere dati in modo silenzioso. Non distruggere, non bloccare, solo osservare. Parametri di produzione. Formulazioni di processi. Layout degli impianti. Logiche dei PLC che incorporano anni di know-how proprietario.
Per un'impresa manifatturiera, tessile, meccanica, chimica, farmaceutica, quel know-how codificato nei sistemi di automazione vale enormemente più di qualsiasi documento rubato da una scrivania. Vale anni di ricerca e sviluppo. Vale il vantaggio competitivo costruito in decenni. E può essere esfiltrato in poche ore, da migliaia di chilometri di distanza, senza che nessuno se ne accorga.
Il vettore? Spesso il tecnico manutentore, la figura esterna che entra in fabbrica con il suo laptop, lo collega al macchinario per la diagnostica, fa il suo lavoro e se ne va. Inconsapevole, in molti casi, di essere lui stesso il vettore dell'infezione. In altri casi, no: in altri casi è una talpa. Il romanzo di spionaggio industriale ha meno glamour di James Bond, ma fa danni altrettanto reali.
La domanda che nessuno vuole fare ad alta voce
Abbiamo raccontato quattro storie. Stuxnet, che fermò un programma nucleare con una chiavetta USB. Sandworm, che imparò a spegnere le luci delle città. Triton, che cercò di rimuovere la protezione contro le esplosioni. Volt Typhoon, che è probabilmente ancora lì, in attesa, in reti che non sospettiamo.
Tutte queste storie hanno una caratteristica comune: il tempo. Stuxnet fu sviluppato dal 2005 e scoperto nel 2010. Volt Typhoon opera almeno dal 2021. Il caso Massachusetts: 12 mesi di presenza non rilevata. Gli attori più sofisticati non hanno fretta. Entrano, si sistemano, aspettano.
La domanda che emerge da questa inchiesta non è teorica. Non è geopolitica. È concreta, aziendale, immediata: nei sistemi che controllano la vostra produzione, nella rete OT della vostra fabbrica, nel PLC che governa il vostro impianto, c'è qualcuno?
La risposta onesta, per la stragrande maggioranza delle imprese italiane, è: non lo sappiamo. Non perché siano negligenti. Ma perché non hanno gli strumenti per saperlo. Perché la sicurezza OT è ancora trattata come un problema secondario, come qualcosa che riguarda le centrali nucleari e i gasdotti, non le fabbriche tessili, non le linee di produzione automatizzate, non i macchinari connessi in Industria 4.0.
Ma i macchinari connessi in Industria 4.0 sono, oggi, infrastrutture critiche. Il loro know-how, la loro continuità operativa, la loro integrità sono beni strategici. E come tali, sono bersagli.
La NIS2 lo ha riconosciuto, ampliando il perimetro dei soggetti obbligati a proteggere le proprie infrastrutture. Lo standard IEC 62443 fornisce le linee guida specifiche per la sicurezza OT. Il NIST Cybersecurity Framework 2.0 offre una roadmap concreta. Non sono adempimenti burocratici: sono la risposta al panorama di minacce che questa inchiesta ha cercato di raccontare.
La guerra silenziosa non chiede il permesso per entrare in fabbrica. Bussa piano, aspetta che abbiate fretta, e si siede ad aspettare. La domanda giusta non è: ci attaccheranno? La domanda giusta è: sono già lì?
Per maggiori informazioni:
Sito web: www.seccomarco.com
SU