Foto di Toa Heftiba.

Un gruppo di hacker afferma di aver preso il controllo del sistema anti‑allagamento di Piazza San Marco, a Venezia, ottenendo accesso ai pannelli di gestione e mettendo in vendita le credenziali di root per 600 dollari. L'intrusione, rivendicata dal collettivo Infrastructure Destruction Squad (noto anche come Dark Engine), riguarda un'infrastruttura critica che gestisce valvole pneumatiche, pompe idrauliche e sensori di marea destinati a proteggere l'area della Basilica di San Marco.

Secondo le ricostruzioni, i primi accessi non autorizzati risalgono a marzo, con timestamp che indicano attività già dal giorno 10. Altre fonti collocano invece le prime tracce al 26 marzo, evidenziando una discrepanza che potrebbe riflettere una rilevazione tardiva dell'intrusione. Gli screenshot pubblicati dagli attaccanti mostrano planimetrie dettagliate, stato delle valvole e interfacce HMI utilizzate per il controllo del sistema. Il gruppo ha dichiarato di essere ancora presente all'interno della rete compromessa, contestando le verifiche effettuate dopo l'incidente e sostenendo che quanto fatto non è stato sufficientea espellerli. Nei messaggi diffusi su Telegram, gli attaccanti affermano di essere «dentro da mesi» e di non avere intenzione di abbandonare l'accesso ottenuto.

L'infrastruttura colpita è il Sistema di Riduzione Rischio Allagamento, un impianto da circa 4 milioni di euro realizzato dal Provveditorato alle Opere Pubbliche del Triveneto a partire dal 2018. Il sistema non è collegato al MOSE e opera in modo indipendente, gestendo il drenaggio dei gatoli sotterranei tramite valvole pneumatiche e pompe di rilancio. L'interfaccia di controllo si trova al primo piano del Campanile di San Marco. Gli autori dell'attacco hanno pubblicato un messaggio in cui affermano di poter disattivare le barriere anti‑allagamento e provocare l'inondazione dell'area, con l'intenzione di utilizzare questa capacità come leva politica contro il governo italiano. Pur dichiarando di non voler causare danni diretti, il gruppo ha ribadito di voler dimostrare la vulnerabilità delle infrastrutture OT italiane.

Le credenziali root sono state offerte sul dark web a un prezzo estremamente basso rispetto al valore strategico del sistema. Gli esperti ritengono che ciò possa indicare un accesso limitato o una scelta deliberata per massimizzare la diffusione dell'intrusione. Le immagini condivise mostrano comunque un livello di accesso sufficiente a interagire con i comandi principali del sistema. Le analisi preliminari suggeriscono che l'attacco possa essere stato facilitato da credenziali compromesse o da un'esposizione non protetta dell'interfaccia di controllo su Internet. Questo tipo di vulnerabilità è comune nei sistemi OT, spesso basati su tecnologie ormai vecchie e meno protetti rispetto ai sistemi IT tradizionali.

Articoli suggeriti:

Router TP-Link compromessi in tutto il mondo: così gli hacker russi sottrag...

Ransomware contro Nike: gli hacker avrebbero sottratto 1,4 Tbyte di dati

Il disastro dei badge di WHY2025

39C3, il kit di sviluppo per Skynet

Le autorità stanno conducendo verifiche tecniche per determinare l'effettiva estensione dell'accesso e per confermare se gli hacker siano ancora presenti nella rete. I test effettuati dopo Pasqua hanno dato esito positivo, ma le dichiarazioni del gruppo suggeriscono che potrebbero essere ancora in possesso di credenziali valide o di accessi laterali non individuati. L'incidente evidenzia la fragilità delle infrastrutture critiche basate su sistemi OT, che governano processi fisici e possono subire conseguenze operative immediate in caso di compromissione.

Spunti di approfondimento:

Pornhub Premium, hacker sottraggono email e cronologia video. Poi tentano il ric...

Spagna, prove generali di apocalisse?

Blackout in Spagna, gli hacker non la raccontano giusta

L'inaccettabile fragilità delle infrastrutture