În contextul escaladării tensiunilor dintre SUA și Israel, atacurile cibernetice asupra siturilor industriale americane au crescut semnificativ. Hackeri care operează în numele guvernului iranian perturbă activitatea mai multor situri esențiale de infrastructură din SUA, ca răspuns probabil la conflictul continuu cu această țară, conform avertismentelor emise de jumătate de duzină de agenții guvernamentale.
Un comunicat emis marți de FBI, Agenția pentru Securitatea Infrastructurii și Cybernetică, Agenția Națională de Securitate, Agenția pentru Protecția Mediului, Departamentul Energiei și Comanda Cyber a SUA a atras atenția „urgent” asupra faptului că un grup APT (amenințare persistentă avansată) vizează controlerele logice programabile (PLC), dispozitive de mărimea unui prăjitor de pâine, situate în fabrici, centre de tratare a apei, rafinării de petrol și alte setări industriale, adesea în locații îndepărtate. Acestea facilitează interfața între computerele utilizate pentru automatizare și mașinăriile fizice.
„Începând cu cel puțin martie 2026, agențiile emitente au identificat, prin colaborare cu organizațiile victimă, un grup APT afiliat Iranului care a perturbat funcționarea PLC-urilor”, se menționează în comunicat. „Aceste PLC-uri au fost implementate în mai multe sectoare critice de infrastructură din SUA (inclusiv Servicii și Facilități Guvernamentale, Sisteme de Apă Uzată și sectorul Energetic) într-o varietate largă de procese de automatizare industrială. Unele dintre victime au experimentat perturbări operaționale și pierderi financiare.”
Printre PLC-urile compromise sau vizate se numără cele produse de Rockwell Automation/Allen-Bradley. Compania de securitate Censys a raportat miercuri că o scanare pe Internet a identificat 5.219 astfel de dispozitive expuse pe Internet. Un procent de 75% dintre ele se află în SUA, probabil în locații îndepărtate unde este situat echipamentul. Infrastructura utilizată pentru a ținti dispozitivele implică „un singur post de lucru Windows multi-home care rulează lanțul de instrumente Rockwell.”
„Campania actuală implică acces direct la PLC-uri expuse pe internet, utilizând software legitim al furnizorului (Rockwell Studio 5000 Logix Designer), permițând actorilor să interacționeze cu fișierele de proiect și să manipuleze datele de afișare HMI/SCADA fără a necesita exploatarea de zero-day”, a declarat compania. Dispozitivele vizate confirmate includ CompactLogix și Micro850.
Postul de lucru se conectează la PLC-uri folosind Protocolul Desktop la Distanță peste portul TCP ne-standard 43589. Acesta utilizează un certificat auto-semnat cu numele comun DESKTOP-BOE5MUC. Gazdele expun, de asemenea, un întreg stack de protocoale Windows (DCERPC/135, MSMQ, NetBIOS).
Comunicatul de marți a menționat că alte protocoale de tehnologie operațională, cum ar fi Modbus S7/10, sunt de asemenea investigate, indicând că PLC-urile de la alți producători sunt de asemenea țintite.
Hackerii care lucrează pentru Corpul Gardienilor Revoluției Islamice din Iran au atacat anterior siturile industriale din SUA. În 2023, un grup cunoscut sub numele de „CyberAg3ngers” a perturbat PLC-urile și interfețele om-mașină din SUA. Cel puțin 75 de dispozitive din mai multe sectoare critice de infrastructură au fost
hackeri Iran, infrastructură critică SUA, PLC, Rockwell Automation, Cybersecurity, FBI, Agenția pentru Securitatea Infrastructurii, Agenția Națională de Securitate, Departamentul Energiei, Comanda Cyber SUA, atacuri cibernetice, automatizare industrială, sisteme de apă uzată, sectorul energetic, protocolul Modbus, Corpul Gardienilor Revoluției Islamice, CyberAg3ngers, protocolul Desktop la Distanță, tehnologie operațională, Rockwell Studio 5000 Logix Designer.
Sursa: Ars Tehnica Technology
Poll: Care dintre următoarele agenții guvernamentale a emis un avertisment "urgent" referitor la creșterea atacurilor cibernetice asupra siturilor industriale americane?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply