Gli hacker sfruttano notoriamente l’AI per automatizzare alcuni passaggi chiave delle loro attività di attacco, e un recente episodio reso noto da un team di threat intelligence ha mostrato in particolare come strumenti di AI possano agevolare gli attacchi informatici verso infrastrutture OT critiche. L’evento di cybersecurity in oggetto ha nello specifico preso di mira una municipalizzata di gestione idrica in Messico, sfruttando strumenti di AI generativa e utilizzando le piattaforme Claude e Chat GPT di Anthropic e OpenAI. Dall’obiettivo originario del furto di dati, gli attaccanti hanno orientato le proprie azioni verso il tentativo di compromettere l’operatività dell’organizzazione. In particolare, hanno individuato nella rete un gateway industriale (vNode) utilizzato come interfaccia web per la gestione e il monitoraggio remoto dei processi, concentrando su tale componente le successive attività di attacco con l’obiettivo di interrompere o ostacolare il normale funzionamento dei sistemi.
L’interfaccia web, che funge da livello di integrazione dati tra sistemi OT e ambienti IT aziendali, è stata subito individuata dalla AI come risorsa critica ad alto valore. Gli hacker hanno quindi avviato attività di valutazione e targeting. E’ dunque importante sottolineare il ruolo che la AI ha nelle moderne tecniche di attacco cyber per facilitare e automatizzare ricognizioni, enumerare le risorse delle vittime e identificare punti deboli nei sistemi industriali e nelle tecnologie OT critiche. In questo senso, l’AI abbassa le barriere automatizzando attività come l’analisi delle reti, la ricerca di sistemi vulnerabili e la raccolta di dati, supportando quindi tecniche classiche di attacco come il phishing e il movimento laterale all’interno del network aziendale.
L’AI in senso offensivo mette pertanto a rischio infrastrutture critiche essenziali come quelle dell’acqua, ma anche dell’energia e dei servizi pubblici, specie in settori dove sono presenti ambienti OT interconnessi, tradizionalmente pensati per garantire affidabilità operativa e continuità di servizio, e meno per la sicurezza informatica. Nel caso in questione, gli hacker una volta effettuato l’accesso alla rete IT hanno lanciato una campagna di password spraying: si tratta di una tecnica di attacco informatico in cui l’attaccante testa una singola password di uso comune su una moltitudine di account utente diversi, prima di passare alla password successiva. Sebbene gli attaccanti abbiano fatto ricorso a un insieme di credenziali predefinite, convenzioni di denominazione specifiche della vittima e dell’ambiente bersaglio, nonché a credenziali riutilizzate e raccolte nel corso di precedenti attacchi contro altri sistemi governativi della stessa area geografica, il tentativo di compromissione non ha avuto successo.
L’esito negativo dell’attacco sembra riconducibile alla presenza di efficaci misure di cybersecurity, tra cui una solida gestione delle password e, con ogni probabilità, una corretta configurazione del gateway di accesso ai sistemi OT. In linea con le buone pratiche di sicurezza, infatti, l’interfaccia OT dovrebbe comunicare con la rete IT esclusivamente attraverso una zona di rete opportunamente segmentata, riducendo così le possibilità di accesso non autorizzato e di propagazione delle minacce.
Sebbene dunque l’AI oggi possa supportare l’analisi e accelerare la comprensione di ambienti OT, aiutando gli attaccanti a individuare sistemi critici quali possibili target di accesso anche senza possedere specifiche competenze relative all’ambiente specifico della vittima, l’impiego di adeguati strumenti di monitoraggio del traffico OT consente di rilevare attività anomale, segnalando comportamenti sospetti e sventando in maniera efficace tentativi di attacco per prendere il controllo dei processi. L’utilizzo dell’intelligenza artificiale come strumento operativo negli attacchi ha generato, nel caso in esame, flussi di attività caratterizzati da elevati volumi di traffico e da un significativo livello di rumore operativo, in grado di produrre effetti concreti soprattutto in presenza di risorse esposte e controlli di sicurezza insufficienti.
Tali attività sospette possono tuttavia essere rilevate e contenute attraverso una sorveglianza continua del traffico nelle infrastrutture OT connesse, che consente di aumentare la visibilità su reti spesso caratterizzate da livelli di protezione limitati. Questo conferma l’efficacia di un approccio basato su difese multilivello e sull’applicazione coerente di misure di cybersecurity consolidate, capaci di contrastare efficacemente anche attacchi supportati dall’intelligenza artificiale.