Il bersaglio non sono le auto, ma i serbatoi interrati dei distributori, spesso esposti online senza alcuna password.
Il dispositivo al centro del caso si chiama ATG, automatic tank gauge. Misura in tempo reale il livello del carburante, la temperatura e le eventuali perdite nelle cisterne sotterranee, ed è installato in stazioni di servizio, aree di sosta per camion, porti turistici e impianti di generatori di emergenza. Migliaia di questi apparecchi risultano direttamente esposti su internet, attraverso protocolli datati e non protetti.
Gli attacchi mirati al carburante sono la nuova frontiera
Quello che gli attaccanti hanno fatto è meno spettacolare di quanto il termine “manomissione” lasci immaginare, e proprio per questo più insidioso. Hanno sfruttato sistemi ATG accessibili online e privi di password, modificando in alcuni casi la visualizzazione del livello di carburante senza toccare le quantità reali nelle cisterne. In altri casi sono state cancellate dal sistema le informazioni su cisterne e sensori.
Gli attacchi mirati al carburante sono la nuova frontiera-webnews.it
Nessun danno fisico immediato, dunque, ma è qui che si annida il rischio vero: secondo esperti privati e responsabili americani, l’accesso a un ATG potrebbe in teoria nascondere agli operatori una perdita reale di carburante, perché un attaccante può disattivare gli allarmi di sistema. A quel punto chi gestisce l’impianto perde ogni visibilità sulle anomalie, con rischi ambientali e di sicurezza in caso di fuoriuscite o guasti.
Il dettaglio tecnico che spiega la facilità degli attacchi è quasi imbarazzante. Gli apparecchi più colpiti sono le console Veeder-Root TLS-350 e TLS-450 Plus, i modelli più diffusi negli Stati Uniti, su cui non era stata configurata alcuna password di rete. Il protocollo ATG prevede un campo per un codice a sei cifre che dovrebbe limitare l’accesso esterno, ma è opzionale e disattivato di default. E anche quando viene attivato, la protezione è fragile: sei cifre significano un milione di combinazioni possibili, facilmente testabili da un computer moderno potenziato con l’intelligenza artificiale.
La parte che ridimensiona la novità della minaccia è la sua età. Già nel 2015 alcuni ricercatori avevano dimostrato che gli ATG potevano essere violati a distanza, e i dati dei honeypot mostravano che questi apparecchi attiravano gli attaccanti. Nell’ottobre 2023 Bitsight TRACE aveva individuato 11 vulnerabilità su vari modelli — tra cui iniezioni di comandi, aggiramenti dell’autenticazione e credenziali scritte nel codice — ciascuna sufficiente a ottenere il controllo amministrativo completo. Nonostante gli avvisi ripetuti, oltre 6.500 sistemi ATG restavano connessi a internet senza alcuna protezione.
