Tre capitali si sono mosse lo stesso lunedì
Nel dicembre 2025, in pieno inverno, un attacco alle infrastrutture energetiche della Polonia è andato abbastanza vicino alla riuscita da spingere oggi i governi a dire che cosa avrebbe provocato: staccare dalla corrente elettrica circa 500.000 civili. Non ha funzionato. Il 13 luglio 2026 l'Europa ha detto ad alta voce chi ci ha provato.
L'UE e il Regno Unito hanno annunciato sanzioni coordinate lo stesso giorno. Il Regno Unito ha designato 24 tra persone ed entità. L'UE ha inserito in lista nove persone e quattro entità, in quello che il capo della diplomazia dell'Unione ha definito il più ampio pacchetto di sanzioni cyber mai adottato dal blocco. Trentatré obiettivi in tutto, con congelamento dei beni, divieto di ingresso e divieto di mettere a loro disposizione fondi o risorse economiche.
I nomi sono precisi. Tre ufficiali del GRU: Vyacheslav Stafeyev, Ivan Senin, Ivan Kasyanenko. L'operazione di bulletproof hosting Media Land LLC e la sua affiliata ML.Cloud, legate a perdite da ransomware e phishing in tutta Europa. Z-Pentest, che secondo il Consiglio ha preso di mira infrastrutture critiche, energia e acqua comprese. Dieci persone dietro Rybar LLC. Gli operatori del malware per il furto di credenziali Lumma Stealer. E dietro l'attacco alla rete polacca, un'unità: il Centro 16 dell'FSB.
Le sanzioni sono una dichiarazione sul passato. Ciò che è uscito lo stesso giorno è una dichiarazione sulla rete della vostra azienda.
La via d'ingresso non era sofisticata
Il National Cyber Security Centre britannico ha pubblicato un avviso congiunto con altri dodici Paesi - Stati Uniti, Australia, Canada, Cechia, Danimarca, Estonia, Finlandia, Francia, Italia, Nuova Zelanda, Polonia e Svezia - che descrive come il Centro 16 dell'FSB entra davvero. Il gruppo è tracciato da anni sotto una pila di nomi: Berserk Bear, Energetic Bear, Dragonfly, Crouching Yeti, Static Tundra. La firma italiana in calce al documento non è un dettaglio diplomatico, è la ragione per cui l'avviso è materiale operativo per chiunque gestisca reti in Italia.
Le tecniche sono la parte deludente. Scansione dell'intera Internet alla ricerca del Simple Network Management Protocol con community string predefinite o deboli. Abuso di Cisco Smart Install, una funzione di provisioning nata per rendere facile il dispiegamento degli switch e che quasi nessuna organizzazione ha disattivato una volta finito il dispiegamento. Vulnerabilità note e già pubblicate nei portali web degli apparati di rete. Settori nel mirino: comunicazioni, difesa, energia, servizi finanziari, pubblica amministrazione, sanità.
In quell'elenco non c'è nulla di esotico. Un servizio di intelligence statale cammina dentro le infrastrutture critiche passando dalle configurazioni predefinite e dall'hardware di frontiera non aggiornato, perché funziona e perché non fa rumore. Gli apparati di rete non eseguono un agent di endpoint. Non compaiono nella maggior parte delle scansioni di vulnerabilità. Quando uno di essi viene compromesso nessuno riceve un alert, semplicemente perché su quella scatola non c'è niente che possa generarlo.
Le mitigazioni dell'avviso sono altrettanto elementari: passare a SNMPv3 e disattivare le versioni legacy, usare password robuste e uniche sugli apparati di rete, limitare l'accesso ai protocolli di gestione e spegnere Smart Install.
Perché un bug del 2008 ha ricevuto tre giorni di tempo
Lo stesso 13 luglio gli Stati Uniti hanno aggiunto esattamente una vulnerabilità al proprio catalogo delle vulnerabilità sfruttate note. Non uno zero-day fresco di giornata. La CVE-2008-4128, una falla di cross-site request forgery in Cisco IOS, divulgata nel 2008. La scadenza di remediation associata era il 16 luglio: tre giorni.
Una voce in quel catalogo significa una cosa sola. Non è un punteggio teorico di gravità e non è la proof of concept di un ricercatore. Significa che la falla viene sfruttata sul campo, adesso, e con questa aggiunta il catalogo che la ospita ha superato le 1.638 voci. La scadenza di tre giorni vincola le agenzie federali statunitensi, ma il segnale che manda non è amministrativo. Un bug di diciotto anni non riceve un orologio d'emergenza perché qualcuno lo ha riscoperto. Lo riceve perché è in uso ora.
Mettete i due documenti uno accanto all'altro e l'immagine si mette a fuoco. L'avviso dice che un attore statale vive sugli apparati di rete. Il catalogo dice che la porta precisa è una falla Cisco vecchia abbastanza da poter votare. Niente in questa campagna ha richiesto che qualcuno inventasse qualcosa. Ha richiesto soltanto che il difensore non guardasse mai lo switch.
Di chi è il router?
Fate quella domanda nella vostra organizzazione e guardate che cosa succede. I server hanno un proprietario, un ciclo di patch e un agent di monitoraggio. I portatili hanno un responsabile di flotta. Il router nel rack, lo switch della filiale, il firewall che il fornitore di servizi gestiti ha installato quattro anni fa e in cui da allora non è più entrato: quelli tendono ad appartenere a chi li ha configurati, il che molto spesso significa a nessuno che lavori ancora in azienda.
Quella lacuna oggi è anche giuridica. Con la NIS2 i soggetti essenziali e importanti devono gestire il rischio su tutti i sistemi informativi e di rete che utilizzano, e gli apparati di rete ne fanno parte senza ambiguità. In Italia il regime è pienamente operativo: l'ACN, l'Agenzia per la Cybersicurezza Nazionale, è l'autorità di vigilanza, tiene la registrazione dei soggetti essenziali e importanti e riceve le notifiche di incidente. Un'autorità che vi chiede come supervisionate i fornitori e l'infrastruttura non accetterà che l'hardware di frontiera sia caduto nel vuoto tra il team interno e quello esterno. Lo stesso vale per il rapporto con il fornitore di servizi gestiti: se è lui a far girare i vostri apparati, la sua igiene di configurazione è la vostra esposizione al rischio, e il contratto è il posto in cui la questione o è affrontata o non lo è.
Per chi lavora nell'energia, nell'acqua, nei trasporti, nella sanità o nelle infrastrutture digitali, questo avviso non è materiale di sensibilizzazione generica. Nomina il vostro settore, nomina il protocollo e arriva accompagnato da un elenco di persone designate che lo stavano facendo.
Che cosa fare questa settimana
Prima l'inventario, perché non si può aggiornare ciò che non è in elenco. Ogni switch gestito, ogni router, firewall e appliance di rete, comprese le scatole nelle filiali e quelle installate da un fornitore. Se quell'inventario non esiste, costruirlo è il lavoro della settimana e vale più di qualunque strumento possiate comprare al suo posto.
Poi tre azioni concrete che vengono dall'avviso. Disattivare Cisco Smart Install ovunque sia ancora acceso, che per la maggior parte dei parchi macchine significa ovunque sia mai stato acceso. Portare SNMP alla versione 3 con autenticazione e cifratura e disattivare le versioni 1 e 2c, che trasmettono le community string in chiaro. Togliere le interfacce di gestione da qualunque percorso raggiungibile da Internet e metterle dietro un segmento di rete controllato.
Infine, verificate se i vostri apparati di rete producono log che qualcuno legge davvero. Questa campagna è durata perché un apparato di rete compromesso è silenzioso. Un router riconfigurato ha esattamente lo stesso aspetto di un router intatto, a meno che qualcuno non lo stia confrontando con una configurazione nota come buona.
Niente di tutto questo è un consiglio nuovo. È esattamente questo il punto, ed è il motivo per cui tredici governi hanno sentito il bisogno di dirlo insieme.
Da leggere ora: La prima piattaforma di agenti IA che la CISA obbliga a correggere | 430.000 firewall come linea di rifornimento ransomware



