Fantasmi nella Macchina: hacker iraniani violano i centri nevralgici industriali dell’America

Un’impennata delle operazioni cyber iraniane mette in luce pericolose vulnerabilità nelle infrastrutture critiche statunitensi, mentre gli hacker sfruttano dispositivi di controllo esposti su Internet per interrompere servizi essenziali.

Nel mondo oscuro della guerra informatica, il campo di battaglia riguarda meno gli stivali sul terreno e più le righe di codice che infiltrano le vene della linfa vitale di una nazione. Questa settimana, le autorità statunitensi hanno lanciato un allarme agghiacciante: hacker sostenuti dall’Iran hanno violato le difese digitali delle infrastrutture critiche americane, manipolando sistemi di controllo industriale che mantengono l’acqua in circolo, le luci accese e operative le strutture governative. Gli attacchi, avvenuti in concomitanza con l’escalation delle tensioni geopolitiche, rivelano una vulnerabilità enorme che minaccia le fondamenta della vita quotidiana.

Fatti in breve

Attori di minaccia affiliati all’Iran hanno preso di mira i settori energetico, idrico e governativo degli Stati Uniti sfruttando controllori logici programmabili (PLC) esposti su Internet.
I dispositivi Rockwell Automation/Allen-Bradley, inclusi i PLC CompactLogix e Micro850, sono stati i principali bersagli, con gli aggressori che hanno manipolato file di progetto e manomesso le schermate di sistema.
Gli hacker hanno utilizzato infrastrutture all’estero, software specializzato e le porte 44818, 2222, 102, 22 e 502 per ottenere accesso non autorizzato.
Le interruzioni hanno causato fermi operativi e perdite finanziarie nei settori colpiti, spingendo il governo a diffondere avvisi urgenti.
Le agenzie statunitensi sollecitano misure immediate: rimuovere i PLC da Internet, implementare firewall e monitorare attività sospette.

Dentro l’attacco: come gli hacker hanno violato la fortezza industriale

L’ultima campagna, attribuita ad attori iraniani di tipo advanced persistent threat (APT), è iniziata sulla scia di attacchi coordinati USA-Israele contro l’Iran. Secondo un avviso congiunto della Cybersecurity and Infrastructure Security Agency (CISA) e di altre agenzie federali, gli hacker hanno puntato i controllori logici programmabili (PLC) - i “cervelli” digitali dei macchinari industriali - prodotti da Rockwell Automation/Allen-Bradley. Questi dispositivi, cruciali per le reti energetiche, gli impianti di trattamento delle acque e le operazioni governative, sono diventati bersagli privilegiati a causa di un difetto fatale: l’esposizione alla rete Internet pubblica.

Gli aggressori hanno sfruttato infrastrutture estere prese in affitto e software di configurazione legittimo (in particolare Studio 5000 Logix Designer) per stabilire connessioni fidate con i dispositivi delle vittime. Convogliando traffico malevolo attraverso una rete di porte - incluse quelle comunemente usate dai protocolli industriali - hanno aggirato le difese di base. Una volta all’interno, hanno manipolato i file di progetto dei PLC e manomesso le schermate delle interfacce uomo-macchina (HMI) e dei sistemi SCADA, in alcuni casi causando interruzioni di servizio nel mondo reale e danni finanziari.

Sebbene l’avviso non indichi responsabili specifici, le tattiche rispecchiano quelle di CyberAv3ngers, un gruppo iraniano con legami con il Corpo delle Guardie della Rivoluzione Islamica (IRGC). I loro precedenti attacchi ai PLC degli impianti di acque reflue statunitensi alla fine del 2023 avevano preannunciato l’attuale escalation.

Gli esperti sottolineano che la causa alla radice non sono solo attori ostili, ma difetti sistemici di progettazione: “Se un ambiente OT è raggiungibile da Internet, è un difetto intrinseco di progettazione e non un problema di stati-nazione”, avverte Gabrielle Hempel, security strategist di Exabeam. La pratica diffusa di collegare dispositivi critici direttamente a Internet - spesso per comodità o gestione da remoto - ha creato una porta digitale spalancata per gli avversari.

In risposta, CISA e i partner stanno esortando gli operatori delle infrastrutture a rimuovere immediatamente i PLC dall’esposizione diretta a Internet, implementare gateway sicuri e monitorare rigorosamente i log alla ricerca di traffico sospetto, soprattutto proveniente dall’estero. Hanno inoltre pubblicato indicatori di compromissione (IoC) per aiutare le organizzazioni a rilevare e contrastare le minacce in corso.

Scosse di assestamento e lezioni: mettere in sicurezza il futuro

Man mano che il mondo digitale e quello fisico si intrecciano, le conseguenze del trascurare la cybersecurity negli ambienti industriali diventano sempre più gravi. Gli attacchi iraniani sono un duro campanello d’allarme: il prossimo blackout, la prossima carenza d’acqua o il prossimo incidente di sicurezza pubblica potrebbe essere innescato non da un disastro naturale, ma da mani lontane su una tastiera. La strada da seguire richiede non solo correzioni tecniche, ma un cambiamento culturale - trattare la cybersecurity industriale come un pilastro della resilienza nazionale, non come un ripensamento.

WIKICROOK

Controllore Logico Programmabile (PLC): Un Controllore Logico Programmabile (PLC) è un computer specializzato che automatizza e controlla processi industriali in fabbriche, servizi pubblici e infrastrutture.
Tecnologia Operativa (OT): La Tecnologia Operativa (OT) comprende sistemi informatici che controllano apparecchiature e processi industriali, spesso rendendoli più vulnerabili rispetto ai sistemi IT tradizionali.
SCADA (Supervisory Control and Data Acquisition): SCADA è un software che monitora e controlla processi industriali, come il trattamento delle acque o le centrali elettriche, raccogliendo e gestendo dati in tempo reale.
Minaccia Persistente Avanzata (APT): Una Minaccia Persistente Avanzata (APT) è un attacco informatico prolungato e mirato da parte di gruppi esperti, spesso sostenuti da stati, con l’obiettivo di rubare dati o interrompere le operazioni.
Indicatore di Compromissione (IoC): Un Indicatore di Compromissione (IOC) è un indizio, come un file sospetto o un indirizzo IP, che segnala che un sistema potrebbe essere stato violato.