Sommario
Cari lettori, è fondamentale prestare attenzione a un avvertimento significativo proveniente dalle principali agenzie di sicurezza informatica degli Stati Uniti. La Cybersecurity and Infrastructure Security Agency (CISA), il Federal Bureau of Investigation (FBI), il Department of Defense Cyber Crime Center (DC3) e la National Security Agency (NSA) hanno lanciato un allarme congiunto, esortando le organizzazioni a rimanere estremamente vigili. Nonostante un cessate il fuoco dichiarato e negoziati in corso per una soluzione permanente in Medio Oriente, esiste una forte possibilità che attori cyber e gruppi hacktivisti affiliati all’Iran possano intensificare le loro attività malevole contro le infrastrutture critiche degli Stati Uniti e altre entità di interesse. Le agenzie autrici stanno monitorando la situazione con attenzione e si impegnano a fornire ulteriori aggiornamenti man mano che nuove informazioni diventano disponibili.
Il profilo della minaccia iraniana: chi e cosa vogliono colpire
Dato l’attuale clima geopolitico, gli attori cyber affiliati all’Iran potrebbero mirare a dispositivi e reti statunitensi per operazioni a breve termine. In particolare, le aziende della Defense Industrial Base (DIB) sono considerate a rischio elevato, specialmente quelle che hanno partecipazioni o legami con aziende di ricerca e difesa israeliane. Storicamente, sia gli hacktivisti che i gruppi legati al governo iraniano hanno preso di mira reti statunitensi scarsamente protette e dispositivi connessi a internet, con l’obiettivo di condurre attacchi dirompenti.
Le tattiche predilette degli attori cyber iraniani
Questi attori malevoli sono noti per la loro capacità di sfruttare le vulnerabilità esistenti. Spesso approfittano di software non aggiornato o obsoleto che presenta vulnerabilità note (Common Vulnerabilities and Exposures – CVEs), o della presenza di password predefinite o comuni su account e dispositivi collegati a internet. Le loro tecniche comuni includono l’indovinamento automatizzato delle password, il cracking degli hash delle password utilizzando risorse online, e l’inserimento di password predefinite del produttore. Quando il bersaglio sono le tecnologie operative (OT), questi attori si avvalgono anche di strumenti di ingegneria e diagnostica di sistema per colpire dispositivi di ingegneria e operatori, sistemi di prestazioni e sicurezza, e sistemi di manutenzione e monitoraggio forniti da terze parti.
Negli ultimi mesi, abbiamo assistito a un aumento delle defacement di siti web e delle fughe di informazioni sensibili esfiltrate dalle vittime da parte di hacktivisti allineati all’Iran. Si prevede un incremento significativo delle campagne di distributed denial of service (DDoS) contro siti web statunitensi e israeliani, in risposta agli eventi recenti. Inoltre, è possibile che attori cyber iraniani collaborino con altri gruppi cybercriminali per condurre attacchi ransomware, crittografando dati e rubando informazioni sensibili per poi divulgarle online.
Uno sguardo alle campagne precedenti
Per comprendere meglio la gravità della minaccia, è utile esaminare alcune operazioni passate. Tra novembre 2023 e gennaio 2024, durante il conflitto Israele-Hamas, attori cyber affiliati ai Guardiani della Rivoluzione Islamica (IRGC) iraniani hanno attivamente preso di mira e compromesso programmable logic controllers (PLC) e human machine interfaces (HMI) di fabbricazione israeliana. Questa campagna ha colpito decine di vittime negli Stati Uniti in settori critici come l’acqua e le acque reflue, l’energia, la produzione alimentare e delle bevande, e la sanità pubblica. Gli aggressori hanno sfruttato sistemi di controllo industriale (ICS) connessi a internet che utilizzavano password di fabbrica predefinite o assenti, e porte TCP predefinite.
A seguito dell’inizio del conflitto Israele-Hamas, attori cyber iraniani hanno condotto diverse operazioni di “hack-and-leak” per protestare contro il conflitto a Gaza. Queste campagne combinavano l’hacking e il furto di dati con operazioni di informazione, come la diffusione online tramite social media o minacce e molestie tramite messaggi diretti. Tali operazioni hanno causato perdite finanziarie e danni alla reputazione delle vittime, con l’obiettivo di minare la fiducia del pubblico nella sicurezza delle reti e dei dati e di mettere in imbarazzo le aziende e i paesi presi di mira. Sebbene gli hacktivisti abbiano principalmente colpito aziende israeliane, è stato registrato un caso che ha coinvolto anche un’azienda statunitense di televisione via protocollo Internet (IPTV)5.
Misure di mitigazione cruciali: come proteggersi
Le agenzie autrici raccomandano vivamente di implementare con urgenza diverse misure per rafforzare le difese cyber contro gli attori malevoli. Innanzitutto, è fondamentale identificare e disconnettere gli asset di tecnologia operativa (OT) e i sistemi di controllo industriale (ICS) da internet pubblico. In questo contesto, si dovrebbe prestare particolare attenzione alle tecnologie di accesso remoto come virtual network computing (VNC), remote desktop protocol (RDP), Secure Shell Protocol (SSH) e le interfacce di gestione web. Qualora l’accesso remoto non potesse essere completamente rimosso, è consigliabile adottare una politica di “deny-by-default allowlist” per prevenire accessi non autorizzati.
Un altro aspetto cruciale riguarda la protezione di dispositivi e account con password forti e uniche; se non si utilizza l’autenticazione a più fattori (MFA), è imperativo sostituire immediatamente le password deboli o predefinite. È inoltre raccomandato implementare una MFA resistente al phishing per accedere alle reti OT da qualsiasi altra rete. Le organizzazioni dovrebbero anche considerare di richiedere strategicamente l’MFA per le modifiche a controller di alto valore, difficili da sostituire o che potrebbero essere significativamente compromessi. Per i fornitori di servizi cloud o gestiti, è suggerito l’uso di Role-Based Access Controls (RBAC) e politiche di accesso condizionale.
È di vitale importanza applicare sempre gli aggiornamenti software più recenti del produttore per i sistemi esposti a internet, garantendo così protezione contro le vulnerabilità note. Le organizzazioni dovrebbero anche dare priorità al monitoraggio dei log di accesso utente per l’accesso remoto alla rete OT e per l’implementazione di qualsiasi modifica al firmware o alla configurazione. Per ridurre l’impatto di un’intrusione riuscita, è necessario stabilire processi OT che prevengano modifiche non autorizzate, perdita di visibilità o perdita di controllo, come mantenere i PLC in modalità “run” anziché “program”, utilizzare interblocchi hardware o software, sistemi di sicurezza e sensori ridondanti8.
Infine, è essenziale assicurarsi di avere in atto piani di continuità aziendale e di risposta agli incidenti per un rapido recupero. Questo include l’implementazione di backup completi di sistema e dati per facilitare qualsiasi sforzo di recupero, nonché la revisione e l’aggiornamento regolare di tali piani, esercitandosi nel recupero dei sistemi critici. Si dovrebbe anche considerare come i dati esfiltrati, come le credenziali trapelate, potrebbero essere utilizzati per condurre ulteriori attività malevole contro la propria rete, assicurandosi che siano in atto meccanismi di sicurezza per ridurre l’impatto di una potenziale fuga di dati9.
Risorse e come segnalare incidenti
Le agenzie autrici incoraggiano vivamente le organizzazioni statunitensi a segnalare qualsiasi attività sospetta o criminale correlata a queste informazioni. Per coloro che desiderano approfondire la conoscenza su questa minaccia cyber e su ulteriori misure di mitigazione, sono disponibili numerose risorse aggiuntive. Per una panoramica generale sulla minaccia iraniana, si può fare riferimento alle pagine “Iran Threat Overview and Advisories” della CISA e “The Iran Threat” dell’FBI. Una lista di avvisi specifici attribuiti ad attori sponsorizzati dallo stato iraniano è consultabile nella pagina “Iran State-Sponsored Cyber Threat: Advisories” della CISA.
L’FBI offre ulteriori risorse congiunte attribuite all’Iran, tra cui l’avviso di cybersecurity congiunto “New Tradecraft of Iranian Cyber Group Aria Sepehr Ayandehsazan aka Emennet Pasargad“, l’avviso “Iranian Cyber Actors Targeting Personal Accounts to Support Operations“, e la notifica all’industria privata “Iranian Cyber Group Emennet Pasargad Conducting Hack-and-Leak Operations Using False-Flag Personas“. Per informazioni specifiche sui PLC Unitronics e relative mitigazioni, si può consultare l’avviso di cybersecurity congiunto “IRGC-Affiliated Cyber Actors Exploit PLCs in Multiple Sectors, Including US Water and Wastewater Systems Facilities“. Maggiori dettagli su CyberAv3ngers sono disponibili tramite il Dipartimento di Stato, “Reward for Justice: CyberAv3ngers“.
Inoltre, per comprendere le tecniche utilizzate per colpire OT e ICS, è utile l’avviso di cybersecurity congiunto “Control System Defense: Know the Opponent“. Per ridurre il rischio di minacce cyber alle OT, si può fare riferimento al foglio informativo congiunto “Primary Mitigations to Reduce Cyber Threats to Operational Technology“. Per difendersi dagli attacchi DDoS, la guida congiunta “Understanding and Responding to DDoS Attacks” offre informazioni preziose. Infine, per informazioni sulle CVE, si consiglia l’avviso congiunto “2023 Top Routinely Exploited Vulnerabilities“, mentre per migliorare la cybersecurity e le difese fisiche, le “CISA Insights: Increased Geopolitical Tensions and Threats” e la pagina “Physical Security – Preventative and Protective Strategies” della CISA sono risorse utili.
È importante notare che le informazioni contenute in questo rapporto sono fornite “così come sono” a scopo puramente informativo. Le agenzie autrici non appoggiano alcuna entità commerciale, prodotto, azienda o servizio specifico, inclusi quelli collegati all’interno del documento, ma mettono in guardia dalla Guerra Cibernetica di Theran.
