Il black out massivo in Spagna e Portogallo è ancora un mistero. E può ancora colorarsi di tinte “cyber”.
Se il gestore Red Electrica de Espana ha escluso che la causa del gigantesco black out in Spagna e Portogallo sia stata un attacco informatico, per quale ragione il giudice José Luis Calama ha aperto un’inchiesta, coperta dal segreto istruttorio, per capire se l’evento può essere stato determinato da “un atto di sabotaggio informatico contro infrastrutture critiche”?
Indice degli argomenti
Blackout Spagna, Portogallo: perché può essere ancora un problema di cyber security
La domanda è legittima, ma la risposta non è poi così difficile: per produrre un disastro di tali proporzioni non è necessario colpire il gestore dell’intera rete, può essere sufficiente attaccare un singolo operatore o anche una singola centrale nel momento “sbagliato”.
La ragione è legata alla natura complessa e fragile di una rete elettrica tale per cui fluttuazioni anche piuttosto piccole nell’equilibrio tra domanda e offerta possono portare a conseguenze devastanti. In alternativa, può bastare un errore umano, magari neanche tanto grave, o un ramo che cade nel posto sbagliato (su questo abbiamo un precedente), anche un banale guasto, magari a un sistema OT e, infine, perché no, un attacco cyber.
Escludere un’aggressione al gestore della rete non significa potere affermare con certezza che non ci siano delle implicazioni tecnologiche e ecco alcune buone ragioni.
Primo motivo: è già successo. L’attacco alle reti dell’Ucraina
In primo luogo, perché di attacchi cyber a impianti di produzione e distribuzione dell’elettricità ne abbiamo già avuti. Senza dubbio i più celebri hanno coinvolto la rete Ucraina nel 2015 e 2016.
Il 23 dicembre 2015 tre compagnie di distribuzione elettrica ucraine furono oggetto di un attacco coordinato che lasciò senza elettricità circa 230.000 persone per un lasso di tempo variabile tra 1 e 6 ore. L’accesso hai sistemi target sembra sia stato possibile tramite un’attività di spear-phishing con allegati Excel che contenevano il malware BlackEnergy che consentì agli attaccanti di acquisire il controllo remoto delle interfacce SCADA deputate a gestire gli interruttori e quindi offrendo la possibilità di interrompere l’erogazione di energia.
Quasi un anno dopo, il 17 dicembre 2016, entrò in scena il malware Industroyer (noto anche come CrashOverride), progettato specificamente per interagire con i protocolli industriali delle sottostazioni elettriche. Questa volta si verificò un blackout di circa un’ora che interessò un quinto del consumo energetico notturno di Kiev. Obiettivo del malware era sabotare i relè di protezione Siemens Siprotec, con l’intento di causare danni fisici agli impianti durante il ripristino manuale dell’energia.
Una sua versione 2.0 venne utilizzata a pochi giorni dall’inizio del conflitto russo-ucraino nel tentativo di danneggiare le sottostazioni elettriche ad alta tensione. Industroyer si rivelò uno dei malware più sofisticati mai visti, tanto che molti lo hanno paragonato al celebre Stuxnet, utilizzato anni prima da Stati Uniti e Israele per danneggiare l’impianto di arricchimento di Uranio di Natanz e, di conseguenza, sabotare il programma nucleare iraniano.
La diga francese
Entrambe le aggressioni ai danni della rete Ucraina sono state attribuite al gruppo russo Sandworm.
A proposito di questa organizzazione e tanto per sdrammatizzare, un rapporto di Mandiant, azienda di cyber security controllata da Google, ha descritto dettagliatamente come il gruppo abbia inizialmente preso di mira una diga in territorio francese, con l’obiettivo di compromettere il livello delle acque, per poi finire con il violare un piccolo mulino (sono bravi, ma anche loro sbagliano).
Volt Typhoon
Decisamente più inquietante il caso Volt Typhoon, gruppo cyber vicino al governo di Pechino. Secondo le indagini delle autorità statunitensi il gruppo sarebbe riuscito a infiltrarsi nella rete elettrica del paese rimanendo inosservato per quasi un anno. Possiamo tranquillamente affermare che la storia ci dice: “è possibile”, ma facciamo un passo oltre.
Le reti energetiche rinnovabili, vulnerabili ad attacchi cyber
Le prime indagini sul blackout hanno puntato il dito sulla particolare situazione spagnola rispetto alle rinnovabili che ormai coprano gran parte del fabbisogno del paese. Per loro natura sono piuttosto “instabili” i quanto dipendenti dalla situazione climatica.
Nel caso iberico lo sbilancio tra domanda e offerta di energia sembra sia stato causato dall’improvviso venire meno di due grandi impianti fotovoltaici.
Si tratta, quindi, di capire se il mondo dell’energia solare è suscettibile ad attacchi cibernetici.
I report
Nel luglio del 2024 Secura, azienda di cybersecurity specializzata nella gestione di rischi IT, ha presentato un report in cui vengono analizzati “27 scenari che potrebbero portare a un’interruzione su larga scala del settore dell’energia solare”.
Lo stesso studio ha accertato che tali eventi avrebbero avuto un impatto anche sull’intero settore energetico.
Arriviamo a marzo 2025 con il report di Forescout, un’altra azienda di cybersecurity, in cui vengono evidenziate 46 vulnerabilità che affliggono gli inverter (il dispositivo che converte la corrente continua prodotta dai pannelli solari, in corrente alternata, adatta alla rete elettrica) di tre dei principali produttori mondiali.
L’attacco agli inverter
Tra lo scenario più agghiacciante descritto è quello di un attacco sincronizzato agli inverter per causare squilibri tra domanda e offerta, generando blackout locali o nazionali.
Nello scenario ipotizzato si valuta l’effetto di un attacco del tipo “Dynamic Load”. In questo caso l’aggressore manipola dinamicamente la produzione o il consumo di energia di un gran numero di dispositivi compromessi per causare instabilità nella rete elettrica.
Di fatto gli inverters vengono trasformati in una botnet per manipolare la frequenza della rete elettrica. Un’oscillazione anche piuttosto modesta dai 50 Hertz che costituiscono il riferimento, porterebbe alla disconnessione automatica di parti della rete con un inevitabile effetto domino. Secondo lo studio si può stimare che, se 500.000 inverter (da 8kW ciascuno) venissero compromessi, potrebbero modulare oltre 4,5 GW, una soglia sufficiente, ad avviso di ENTSO-E (European Network of Transmission System Operators for Electricity), per superare la capacità di reazione di emergenza in Europa. Per la cronaca gli impianti solari domestici in Europa sono circa 50 milioni, quindi parliamo dell’1 per cento.
Detto tutto ciò, la ragione per cui il solerte magistrato spagnolo ha aperto un’inchiesta adesso assume dei contorni diversi. Forse si scoprirà che alla fine sono state un paio di nuvole abbastanza grandi a passare nel momento sbagliato nei posti sbagliati, ma escludere l’eventualità “cyber” solo perché il gestore nazionale non è stato colpito significa non avere ben presente lo stato dell’arte del settore.
