Attacchi informatici iraniani mirati alle infrastrutture statunitensi, avverte il DHS

Una coalizione delle principali agenzie di cybersecurity e intelligence statunitensi ha emesso lunedì un avvertimento chiaro: gli hacker sponsorizzati dallo stato iraniano e i hacktivisti affiliati si prevede che intensifichino gli attacchi informatici mirati ai sistemi di difesa americani, alle infrastrutture critiche e alle reti industriali, in particolare quelle con legami con Israele.

In un avviso congiunto, la Cybersecurity and Infrastructure Security Agency (CISA), il Federal Bureau of Investigation (FBI), il Department of Defense Cyber Crime Center (DC3) e la National Security Agency (NSA) hanno esortato le organizzazioni americane a rimanere vigili per potenziali attività informatiche mirate contro le infrastrutture critiche statunitensi e altre entità statunitensi da parte di attori informatici affiliati all’Iran, poiché le minacce crescono in frequenza e sofisticazione.

“Nonostante un cessate il fuoco dichiarato e negoziati in corso per una soluzione permanente, gli attori informatici affiliati all’Iran e i gruppi hacktivisti potrebbero comunque condurre attività informatiche dannose.

Le agenzie autrici continuano a monitorare la situazione e rilasceranno informazioni pertinenti sulle minacce informatiche e sulla difesa informatica non appena saranno disponibili,” recita l’avviso congiunto.

Sebbene non sia stata ancora rilevata alcuna campagna coordinata su larga scala, le agenzie avvertono di un potenziale aumento degli attacchi informatici da parte di hacker legati all’Iran, specialmente mentre le tensioni in Medio Oriente continuano a crescere.

Attività di minaccia

Le aziende della Defense Industrial Base (DIB)—in particolare quelle collegate a organizzazioni di ricerca o difesa israeliane—sono ritenute a maggior rischio. Questi attori spesso sfruttano sistemi poco sicuri sfruttando software non aggiornati, vulnerabilità note e password predefinite o deboli.

“Gli attori informatici affiliati all’Iran e i gruppi hacktivisti allineati spesso sfruttano obiettivi di opportunità basati sull’uso di software non aggiornati o obsoleti con vulnerabilità comuni e note (CVE) o sull’uso di password predefinite o comuni su account e dispositivi connessi a Internet,” ha aggiunto l’avviso.

I gruppi di minaccia informatica iraniani, molti dei quali legati al Corpo delle Guardie della Rivoluzione Islamica (IRGC), utilizzano una gamma di tecniche, come il tentativo automatico di indovinare le password, la decifratura degli hash delle password utilizzando risorse online e l’inserimento di password predefinite del produttore, per violare i sistemi e muoversi indisturbati attraverso le reti.

Quando attaccano i sistemi di tecnologia operativa (OT), utilizzano anche strumenti di ingegneria di sistema e diagnostica per compromettere le prestazioni, la sicurezza e i sistemi di manutenzione.

Recentemente, gli hacktivisti allineati all’Iran hanno aumentato le defacement di siti web e le perdite di dati, e sono probabili che espandano gli attacchi di denial-of-service distribuiti (DDoS) su siti web statunitensi e israeliani. Inoltre, gli attori informatici iraniani potrebbero collaborare con gruppi di ransomware per crittografare dati, rubare informazioni sensibili e pubblicarle online.

Campagne di minaccia precedenti

Tra novembre 2023 e gennaio 2024, gli attori informatici affiliati al Corpo delle Guardie della Rivoluzione Islamica (IRGC) hanno lanciato una campagna informatica globale mirata ai controllori logici programmabili (PLC) e alle interfacce uomo-macchina (HMI) di produzione israeliana, colpendo settori statunitensi come acqua, energia, cibo e sanità.

Gli attori di minaccia hanno approfittato dei sistemi di controllo industriale (ICS) che erano accessibili tramite Internet e utilizzavano ancora password predefinite di fabbrica o nessuna password, insieme a porte di Transmission Control Protocol (TCP) predefinite che non erano state protette.

In protesta per il conflitto Israele-Hamas, questi attori informatici iraniani hanno anche condotto diverse operazioni di hack-and-leak per rubare e rilasciare pubblicamente dati sensibili, spesso amplificati attraverso i social media.

Gli attacchi hanno causato perdite finanziarie, danni reputazionali e miravano a minare la fiducia pubblica nella cybersecurity. Sebbene la maggior parte degli obiettivi fosse israeliana, almeno una compagnia statunitense di televisione via protocollo Internet (IPTV) è stata anch’essa colpita.

Mitigazioni

Le agenzie autrici, in collaborazione con partner governativi statunitensi e stranieri, suggeriscono passi immediati per le organizzazioni, in particolare quelle nelle infrastrutture critiche:

• Identificare e disconnettere i sistemi OT e ICS da Internet pubblico.
• Sostituire password deboli/predefinite e implementare l’autenticazione multi-fattore (MFA) resistente al phishing.
• Applicare tempestivamente le ultime patch software del produttore.
• Monitorare comportamenti insoliti di accesso remoto.
• Eseguire backup completi di sistema e dati.
• Limitare i privilegi di amministratore e adottare la microsegmentazione.

Per ulteriori informazioni, le organizzazioni possono fare riferimento alla panoramica sulla minaccia iraniana della CISA e alle pagine web sulla minaccia iraniana dell’FBI.