PLC sotto assedio: hacker iraniani prendono di mira le infrastrutture critiche USA in un’offensiva cyber furtiva

Poco dopo mezzanotte, un tranquillo impianto di trattamento dell’acqua nel Midwest ha iniziato a mostrare letture strane sui suoi schermi di controllo. Gli operatori guardavano increduli mentre i dati sfarfallavano e i comandi non andavano a buon fine. Non era un glitch: era l’ultima salva di una serie di sofisticati attacchi informatici che prendono di mira la spina dorsale delle infrastrutture critiche statunitensi: i controllori logici programmabili (PLC) che gestiscono tutto, dal flusso dell’acqua all’elettricità.

L’ultima advisory congiunta delle agenzie cyber statunitensi - tra cui FBI, CISA, NSA e DOE - solleva il velo su una tendenza allarmante: gruppi APT (advanced persistent threat) legati allo Stato iraniano stanno sfruttando attivamente PLC connessi a internet, in particolare quelli della linea Allen-Bradley di Rockwell Automation, per interrompere infrastrutture vitali americane. Almeno da marzo, gli attaccanti hanno manipolato file di progetto e manomesso i dati sulle interfacce uomo-macchina, talvolta causando interruzioni operative dirette e danni economici.

Perché i PLC sono nel mirino? Questi dispositivi sono i direttori d’orchestra invisibili dell’industria moderna, controllando valvole, pompe e interruttori negli impianti idrici, nelle reti elettriche e oltre. A differenza dei sistemi IT tradizionali, una compromissione in questi ambienti può innescare conseguenze fisiche a catena - acqua contaminata, blackout o produzione fermata. Secondo Steve Povolny, VP of AI Strategy di Exabeam, “Gli impianti di trattamento dell’acqua, i sistemi di distribuzione elettrica e le operazioni su pipeline sono bersagli unicamente asimmetrici. Gli avversari possono generare disservizi, paura e pressione economica senza lanciare un attacco fisico.”

Il copione tecnico è al tempo stesso sofisticato e opportunistico. Gli hacker sfruttano configurazioni deboli e credenziali predefinite, scandagliando la rete alla ricerca di PLC esposti direttamente su internet. Una volta dentro, usano software di ingegneria legittimo - come Studio 5000 Logix Designer - per stabilire connessioni fidate e manipolare il comportamento dei dispositivi. Vengono sondati anche porti associati ad altri fornitori industriali, come Siemens, a indicare che la minaccia si estende oltre un singolo produttore.

Cosa sta alimentando l’impennata? Gli esperti indicano l’escalation delle tensioni geopolitiche, in particolare tra Iran, Stati Uniti e Israele. Joe Saunders, CEO di RunSafe Security, osserva: “Gli attacchi informatici sono ormai componenti chiave della guerra moderna. L’Iran ha sia i mezzi sia la motivazione per minare le funzioni del governo e della società statunitensi.”

In risposta, le agenzie esortano le organizzazioni a scollegare i PLC dalle reti esposte al pubblico, imporre l’autenticazione a più fattori e monitorare con rigore eventuali attività sospette. Ma gli avvertimenti vanno oltre: ai produttori di dispositivi viene chiesto di progettare prodotti sicuri per impostazione predefinita, eliminando configurazioni insicure e integrando protezioni robuste fin dall’inizio. “L’onere della sicurezza, in ultima analisi, ricade su chi costruisce i prodotti”, afferma l’advisory.

Per chi difende, il messaggio è chiaro: il tempo per prepararsi sta finendo. “Il ripristino in questi ambienti non è semplice come reimaging di un server”, avverte Povolny. “Può comportare rischi per la sicurezza fisica e caos operativo. Prendetelo come un avvertimento tangibile; gli avversari sono già dentro, a sondare le debolezze.”

Man mano che i mondi digitale e fisico convergono, la linea tra incidente cyber e disastro nel mondo reale si sfuma. Questi attacchi non sono solo avvertimenti: sono la prova che le infrastrutture critiche americane sono ormai una linea del fronte nel conflitto cyber globale. La corsa per mettere in sicurezza il cuore industriale della nazione non è mai stata così urgente, né la posta in gioco così alta.

WIKICROOK

• Controllore Logico Programmabile (PLC): Un Controllore Logico Programmabile (PLC) è un computer specializzato che automatizza e controlla processi industriali in fabbriche, servizi pubblici e infrastrutture.
• Tecnologia Operativa (OT): La Tecnologia Operativa (OT) include sistemi informatici che controllano apparecchiature e processi industriali, spesso rendendoli più vulnerabili dei sistemi IT tradizionali.
• Minaccia Persistente Avanzata (APT): Una Minaccia Persistente Avanzata (APT) è un attacco informatico prolungato e mirato da parte di gruppi esperti, spesso sostenuti da Stati, con l’obiettivo di rubare dati o interrompere le operazioni.
• Umano: Un umano è un individuo che interagisce con sistemi digitali, spesso fornendo supervisione, validazione e capacità decisionale nei processi di cybersecurity come HITL.
• Controllo di Supervisione e Acquisizione Dati (SCADA): I sistemi SCADA sono piattaforme centralizzate che monitorano e controllano da remoto i processi industriali, garantendo efficienza e sicurezza nelle infrastrutture critiche.