El FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad en un aviso conjunto publicado el martes Advirtió que los actores de amenazas vinculados a Irán han explotado dispositivos con acceso a Internet en sitios de infraestructura crítica de EE. UU., incluidos agua, energía y ubicaciones municipales.
Los piratas informáticos se han dirigido a controladores lógicos programables (PLC) fabricados por Rockwell Automation/Allen-Bradley, en ataques que implican interacciones maliciosas con archivos de proyecto. Según el aviso, los ataques llevaron a la manipulación de datos tanto en la interfaz hombre-máquina como en las pantallas de control de supervisión y adquisición de datos.
Las agencias no especificaron el número ni las ubicaciones específicas de los ataques, pero señalaron que los incidentes provocaron pérdidas financieras e interrupciones operativas, según el aviso.
La Agencia de Protección Ambiental, el Departamento de Energía, la Agencia de Seguridad Nacional y el Comando Cibernético de EE. UU. también participaron en el aviso, que instó a los equipos de seguridad a habilitar la autenticación multifactor, eliminar dispositivos de la Internet pública y verificar registros para detectar actividades sospechosas, así como colocar interruptores de modo físico en los dispositivos Rockwell en la posición «ejecutar».
Vulnerabilidad de omisión de autenticación de Rockwell Automation
En el centro de la campaña se encuentra una vulnerabilidad de omisión de autenticación en los controladores Logix de Rockwell Automation. Rockwell Automation actualizó en marzo un aviso sobre la falla (CVE-2021-22681) en su software Studio 5000 Logix Designer que podría permitir encontrar una clave criptográfica y permitir que una aplicación que no sea de Rockwell se conecte con los controladores Logix.
La empresa en ese momento también emitió un aviso recordando a los clientes que desconecten los dispositivos de Internet abierto y refuercen la seguridad en sus entornos PLC. La guía de Rockwell fue mencionada específicamente en el aviso federal del lunes.
La empresa «se toma en serio la seguridad de sus productos y soluciones y ha estado coordinando estrechamente con agencias gubernamentales», dijo un portavoz a Cybersecurity Dive.
Más de 3.000 dispositivos Rockwell siguen visibles en la Internet pública, ya sea porque las organizaciones no son conscientes de que están expuestas o porque subestiman el riesgo, dijo a Cybersecurity Dive Markus Mueller, CISO de campo de Nozomi Networks.
«La exposición pública de estos dispositivos OT crea una vasta superficie de ataque que un adversario motivado y capaz puede explotar, lo cual es especialmente relevante dado el conflicto actual», dijo Mueller.
Los recientes ataques recuerdan a anteriores explotación de los PLC de Unitronics por piratas informáticos iraníes durante la guerra de Gaza en 2023-2024. El objetivo anterior estaba vinculado a un Cuerpo de la Guardia Revolucionaria Islámica.-actor vinculado rastreado como CyberAv3ngers.
Cientos de sistemas de agua de EE. UU. Se descubrió que tenían configuraciones de seguridad débiles que los exponían a la piratería y, en docenas de casos, las empresas de agua fueron comprometido.
Los actores de amenazas vinculados a Irán han atacado numerosos objetivos de infraestructura crítica en Israel, la región del Golfo Pérsico y Estados Unidos desde el comienzo de la guerra a finales de febrero.
Stryker, un importante proveedor de tecnología médica de EE. UU., fue atacado en marzo después de que los piratas informáticos manipularan el entorno Microsoft Intune de la empresa. El ataque provocó breves interrupciones en las capacidades de fabricación, pedidos y envíos de la empresa.
Fuente