L'Agenzia per la Sicurezza Cibernetica e dell'Infrastruttura degli Stati Uniti (CISA) ha identificato l'Iran's Islamic Revolutionary Guard Corps (IRGC) come responsabile di alcuni recenti attacchi informatici contro gli impianti idrici.
Secondo una comunicazione congiunta di CISA, FBI, NSA, EPA e INCD, l'IRGC, noto come "CyberAv3ngers", ha preso di mira i controller logici programmabili (PLC) di Unitronics. Questi dispositivi sono ampiamente usati da settori quali: idrico, energetico, alimentare e sanitario.
Un Controller Logico Programmabile, o PLC, è un computer utilizzato per l’automazione industriale. Questi controller possono automatizzare un processo specifico, una funzione della macchina o persino un’intera linea di produzione.
L'IRGC ha mirato ai dispositivi perché Unitronics è un produttore israeliano. Gli attacchi hanno coinvolto la compromissione delle credenziali predefinite dei dispositivi e, in seguito, l'IRGC ha lasciato dei messaggi dispregiativi, dichiarando ogni apparecchiatura "made in Israel" come un "bersaglio legale" di CyberAv3ngers.
Le vittime degli attacchi si estendono su più stati degli USA. Un aggiornamento dal National Cyber Security Centre del Regno Unito, ha inoltre avvertito del rischio di attacchi simili anche nella loro infrastruttura critica, anche se il rischio è considerato minimo e limitato a fornitori minori, con probabilità basse di causare interruzioni nell'approvvigionamento idrico.
L'aspetto sorprendente è che i dispositivi compromessi negli Stati Uniti, erano esposti su internet con password predefinite e posizionati sulla porta TCP 20256, come ha confermato la CISA.
È stato consigliato ai fornitori di infrastrutture critiche per il paese, di cambiare le password predefinite, disconnettere i PLC dalla rete pubblica, aggiungere l'autenticazione multi-fattore, effettuare backup regolari, mantenere il firmware aggiornato e installare firewall per controllare l'accesso ai PLC.
Questo episodio sottolinea la negligenza, in termini di prevenzione e cybersicurezza, di chi opera con sistemi critici e l'importanza di adottare misure di sicurezza rigorose per proteggere le infrastrutture essenziali, da potenziali attacchi cibernetici.