Cosa è successo: il cyberattacco al traghetto italiano
Un traghetto passeggeri italiano è stato vittima di un grave cyberattacco mentre era ormeggiato nel porto mediterraneo francese di Sète. La compagnia di navigazione Grandi Navi Veloci (GNV) ha scoperto la presenza di un malware sofisticato nei sistemi informatici della nave Fantastic, un Remote Access Trojan (RAT) progettato per consentire il controllo remoto dell’imbarcazione da parte di attori esterni. Fortunatamente, l’infezione è stata rilevata e neutralizzata tempestivamente, impedendo qualsiasi danno ai passeggeri, all’equipaggio o alle operazioni della nave.
Questo incidente rappresenta un caso emblematico di come le infrastrutture critiche di trasporto siano diventate bersagli sempre più appetibili per attori malevoli, siano essi criminali informatici o entità statali. La risposta rapida della compagnia ha dimostrato l’importanza di una vigilanza costante e di procedure di sicurezza efficaci nel settore marittimo.
I dettagli dell’incidente e gli arresti
Le autorità italiane hanno segnalato il problema alle autorità francesi, attivando un’indagine di controspionaggio coordinata. La scoperta del malware ha portato a una serie di arresti e operazioni investigative:
Il primo arresto è avvenuto il 12 dicembre al porto di Sète, quando la polizia francese ha fermato due membri dell’equipaggio: un cittadino lettone di circa vent’anni, con precedenti per attività di hacking, e un cittadino bulgaro. Il cittadino bulgaro è stato successivamente rilasciato senza accuse dopo l’interrogatorio, mentre il marinaio lettone è rimasto in custodia cautelare.
Il secondo arresto è avvenuto in Italia, dove la procura di Genova ha disposto il fermo di un altro marinaio lettone presente sul territorio italiano, anch’egli ritenuto responsabile dell’attacco informatico. Contro questo secondo sospetto è stata convalidata la custodia cautelare.
L’accusa formale nei confronti dei marinai lettoni è quella di “cospirazione per penetrare in un sistema di elaborazione dati per conto di una potenza straniera”. Secondo il ministro dell’Interno francese Laurent Nuñez, si tratta di “una questione molto seria”, con sospetti che puntano verso interferenze di natura geopolitica, potenzialmente riconducibili a potenze straniere come la Russia.
Come è stato installato il malware
Secondo le ricostruzioni investigative, il malware RAT è stato probabilmente installato utilizzando una chiavetta USB. Il marinaio lettone arrestato avrebbe utilizzato questo dispositivo per infettare i sistemi informatici della nave Fantastic. Sebbene non sia stato confermato ufficialmente, alcune fonti suggeriscono che potrebbe essere stato utilizzato anche un dispositivo fisico sofisticato, come un Raspberry Pi dotato di modem cellulare, collegato ai computer di bordo in aree ristrette. Un dispositivo simile era stato effettivamente trovato sulla stessa nave nel mese di novembre.
Questa metodologia di attacco evidenzia come gli attori malevoli non si limitino a tecniche puramente digitali, ma sfruttino anche accessi fisici per compromettere le infrastrutture critiche.
Le conseguenze potenziali e la mitigazione
Il Remote Access Trojan rilevato aveva il potenziale di compromettere i sistemi operativi della nave, creando una backdoor per accesso amministrativo remoto. Questo avrebbe potuto teoricamente consentire il controllo di sistemi critici, inclusi quelli di navigazione e propulsione. Tuttavia, grazie alla segmentazione adeguata della rete di bordo, i sistemi operativi più critici (Operational Technology, OT) non sono stati compromessi.
Quando il traghetto Fantastic è stato fermato nel porto di Sète, la nave è stata sottoposta a controlli di sicurezza approfonditi. La polizia di Stato italiana ha sequestrato diversi dispositivi digitali a bordo per l’analisi forense. Dopo aver verificato l’efficacia delle misure di sicurezza e completato le verifiche necessarie, la nave è stata autorizzata a riprendere il servizio.
La GNV ha dichiarato che il tentativo di intrusione non ha avuto conseguenze grazie alla protezione efficace dei sistemi, sottolineando l’importanza di investimenti continui nella cybersicurezza marittima.
Implicazioni per il settore marittimo
Questo incidente ha riportato l’attenzione sui rischi crescenti che interessano le infrastrutture di trasporto e i sistemi industriali complessi. Le navi moderne integrano sempre più tecnologie informatiche (IT) e tecnologie operative (OT), creando una convergenza che, se non adeguatamente protetta, amplia significativamente la superficie di attacco disponibile per gli attori malevoli.
Gli esperti di cybersicurezza sottolineano l’importanza di un approccio proattivo basato su:
– Visibilità continua degli asset per identificare tempestivamente dispositivi non autorizzati
– Segmentazione delle reti per isolare i sistemi critici
– Rilevamento tempestivo di attività anomale tramite monitoraggio costante
– Investimenti in cyber resilience specifici per i sistemi industriali e di trasporto
Technical Deep Dive
Per i professionisti della sicurezza informatica e della tecnologia operativa, questo incidente offre lezioni tecniche significative.
Architettura di attacco: Il Remote Access Trojan utilizzato rappresenta una minaccia sofisticata perché crea una backdoor che consente il controllo amministrativo remoto dei sistemi. A differenza di malware più semplici, i RAT mantengono la persistenza e permettono agli attaccanti di operare con privilegi elevati.
Vettori di infezione: L’uso di dispositivi USB e potenzialmente di hardware specializzato (Raspberry Pi con modem) evidenzia come gli attaccanti sfruttino l’accesso fisico per bypassare le difese perimetrali digitali. Questo sottolinea l’importanza di controlli di accesso fisico rigorosi nelle aree critiche delle navi.
Segmentazione di rete: Il fatto che i sistemi OT non siano stati compromessi suggerisce che la nave disponesse di una segmentazione adeguata tra reti IT e OT. Questa è una best practice fondamentale per le infrastrutture critiche, ma richiede implementazione e manutenzione costante.
Rilevamento e risposta: La capacità della GNV di identificare il malware tempestivamente è stata cruciale. Questo richiede l’implementazione di soluzioni di Endpoint Detection and Response (EDR), monitoraggio SIEM (Security Information and Event Management) e audit regolari dei sistemi.
Analisi forense: Il sequestro di dispositivi digitali e la successiva analisi forense consentiranno alle autorità di tracciare la catena di comando, identificare i vettori di attacco specifici e determinare l’entità responsabile dell’operazione.
Zero-Trust Architecture: Per il settore marittimo, l’adozione di un modello zero-trust è diventata essenziale. Questo approccio assume che nessun dispositivo o utente sia intrinsecamente attendibile, richiedendo autenticazione e autorizzazione continua per tutti gli accessi ai sistemi critici.
Simulazioni di attacco: Le organizzazioni nel settore marittimo dovrebbero condurre regolarmente esercitazioni di risposta agli incidenti e penetration testing specificamente progettati per scenari marittimi, inclusi attacchi a sistemi di navigazione, propulsione e comunicazione.
Questo caso rappresenta un campanello d’allarme per l’industria marittima globale, dimostrando che la cybersicurezza non è più una considerazione secondaria, ma un elemento critico per la sicurezza operativa e nazionale.
Fonte: https://www.schneier.com/blog/archives/2025/12/iot-hack.html
