În data de 01 decembrie 2023, Biroul Federal de Investigații (FBI), Agenția pentru Securitate Cibernetică și Securitatea Infrastructurii din SUA (CISA), Agenția Națională de Securitate a SUA (NSA), Agenția pentru Protecția Mediului (EPA) și Direcția Națională Cibernetică din Israel (INCD) au lansat o avertizare comună pentru a evidenția o operațiune cibernetică împotriva unor dispozitive tehnologice operaționale, derulată de către actori cibernetici afiliați Gărzilor Revoluționare Islamice ai Guvernului Iranian (Iranian Government Islamic Revolutionary Guard Corps – IRGC).
Cine este IRGC?
IRGC este o organizație militară iraniană desemnată de Statele Unite drept organizație teroristă străină în anul 2019. CyberAv3ngers, actori cibernetici afiliați IRGC vizează compromiterea echipamentelor de control industrial de tip programable logic controlller (PLC) produse de compania israeliană Unitronics.
Aceste PLC sunt utilizate îndeosebi în sectorul furnizării de apă potabilă și reciclării de apă uzată, dar și în domeniul energetic, al producției de alimente și băuturi și în sectorul medical. PLC vizate sunt vândute atât sub brand-ul producătorului, cât și sub alte brand-uri.
Entități afectate
Începând cu 22 noiembrie 2023, actorii cibernetici afiliați IRGC au compromis dispozitivele Unitronics menționate a căror administrare era disponibilă online pe baza credențialelor de acces implicite. Ulterior, atacatorii afișau pe echipamentele afectate mesajul: “You have been hacked, down with Israel. Every equipment ‘made in Israel’ is CyberAv3ngers legal target.” („Ați fost compromiși, jos cu Israelul.Fiecare echipament «fabricat în Israel» este țintă pentru CyberAv3ngers.”).
În urma verificărilor efectuate în România, a fost identificat un atac similar împotriva unei entități din sectorul epurării apelor uzate, metoda de atac și echipamentele țintă fiind aceleași. Ca și în cazul atacurilor înregistrate în SUA, vizate au fost sistemele PLC fabricate de Unitronix. Atacul nu a avut impact asupra asigurării serviciului furnizat de compania în cauză, deci nu au fost înregistrate daune în ceea ce privește capacitatea entității vizate de a realiza activitățile specifice.
În conformitate cu aspectele documentate de autoritățile din SUA și Israel menționate, Directoratul Național de Securitate Cibernetică (DNSC) îndeamnă toate organizațiile care utilizează echipamentele menționate, dar și alte PLC, în special organizațiile din sectorul infrastructurii critice, să aplice recomandările enumerate în secțiunea REMEDIERE a acestui material, pentru a reduce riscul de compromitere din partea acestor actori cibernetici afiliați IRGC.
Remediere
Recomandăm organizațiilor din zona de infrastructură critică să implementeze de urgență măsuri de atenuare pentru a îmbunătăți postura de securitate cibernetică a organizației cu privire la amenințarea reprezentată de gruparea CyberAv3ngers.
Atacatorii au accesat probabil dispozitivele afectate exploatând măsurile deficitare de securitate cibernetică, inclusiv utilizarea parolelor standard și expunerea echipamentelor în Internet. Pentru a proteja împotriva acestei amenințări, recomandăm organizațiilor vizate să ia în considerare următoarele:
Măsuri imediate pentru prevenirea atacului
Pași de urmat pentru a vă consolida postura de securitate
Recomandăm raportarea incidentelor de securitate cibernetică la [email protected].
Indicatori de compromitere
Surse
CISA: EPA: Cybersecurity for the Water Sector
Postat în: stiri cybersecurity awareness alerta cybersecurity cybersecurity cybersecurity awareness cybersecurity cybersecurity alerta cybersecurity alerta cybersecurity alerta stiri PLC IRGC
Vizualizat de 5067 ori