Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
PLC USA sotto attacco iraniano: Dropbear SSH manipola SCADA e ferma infrastrutture critiche
Negli ultimi mesi la sicurezza delle infrastrutture critiche negli Stati Uniti è finita sotto pressione a causa di una campagna di attacchi informatici attribuita ad attori legati all’Iran. Il bersaglio principale sono i dispositivi di operational technology esposti su internet, in particolare i PLC (programmable logic controller) utilizzati per controllare processi industriali.
Quando un PLC è raggiungibile dall’esterno senza adeguate protezioni, diventa un punto di ingresso ideale per chi vuole causare disservizi e danni economici.
Le segnalazioni indicano che gli attacchi hanno provocato riduzione delle funzionalità dei PLC, manipolazione dei dati mostrati e, in alcuni casi, interruzioni operative. La tecnica descritta prevede l’uso di infrastrutture di terze parti noleggiate e di software di configurazione industriale, come strumenti impiegati per stabilire una connessione accettata dal dispositivo. Tra i sistemi colpiti compaiono PLC di marchi diffusi in ambito industriale, impiegati in settori come servizi governativi, impianti idrici e acque reflue e comparto energetico.
Dopo l’accesso iniziale, gli attori malevoli stabiliscono un canale di comando e controllo installando Dropbear, un software SSH. In pratica, abilitano o sfruttano l’accesso remoto tramite porta 22 per operare a distanza, estrarre il file di progetto del PLC e intervenire sui dati visualizzati da HMI e SCADA. La manipolazione delle schermate operative può confondere gli operatori e rallentare la risposta, aumentando il rischio di impatti su produzione, sicurezza e continuità del servizio.
Misure di mitigazione e hardening OT
Per ridurre l’esposizione, le raccomandazioni ruotano attorno a misure concrete di hardening OT. In particolare:
- Evitare di esporre i PLC su internet e segmentare la rete industriale.
- Impedire modifiche remote non autorizzate, anche tramite switch fisici o controlli software.
- Applicare autenticazione a più fattori dove possibile.
- Posizionare firewall o proxy davanti ai PLC per filtrare gli accessi.
- Mantenere i dispositivi aggiornati.
- Disabilitare funzioni di autenticazione non necessarie.
- Monitorare traffico anomalo verso sistemi OT e SCADA.
Questa tipologia di attacco non è nuova. In passato sono stati osservati episodi di compromissione di PLC in ambito idrico con numerosi dispositivi colpiti, a conferma che la superficie di attacco OT resta ampia quando le configurazioni privilegiano la connettività rispetto alla sicurezza.