Gli hacker iraniani non si fermano. Mentre la tensione geopolitica tra Iran e Stati Uniti resta altissima, con minacce incrociate e lo stretto di Hormuz al centro di una crisi diplomatica senza precedenti, il fronte digitale diventa sempre più caldo. Diverse agenzie federali statunitensi hanno confermato una serie di attacchi informatici mirati contro infrastrutture critiche sul suolo americano, portati avanti da gruppi affiliati al Corpo delle guardie della rivoluzione islamica (IRGC). Il bersaglio principale? I PLC, ovvero i Programmable Logic Controller, dispositivi fondamentali per il funzionamento di impianti industriali, e in particolare quelli prodotti da un singolo costruttore.
La questione è seria, molto più di quanto possa sembrare a prima vista. Non si parla di semplici violazioni di dati o furti di credenziali. Qui si tratta di accesso diretto a sistemi che controllano fisicamente il funzionamento di impianti idrici ed energetici. E questo cambia completamente la portata del rischio.
Il contesto: dalla crisi nello stretto di Hormuz agli attacchi digitali
Il quadro è abbastanza chiaro. Donald Trump aveva minacciato di demolire le infrastrutture iraniane se il regime non avesse riaperto lo stretto di Hormuz. Il passaggio delle navi è effettivamente ripreso per qualche ora, salvo poi essere nuovamente bloccato. Nel mezzo, è stata concordata una tregua di 14 giorni. Ma gli hacker iraniani hanno comunque reagito, spostando il conflitto su un terreno diverso: quello informatico.
Un avviso di sicurezza congiunto, firmato da FBI, CISA (Cybersecurity and Infrastructure Security Agency), NSA, EPA, DOE e dal Cyber National Mission Force dello United States Cyber Command, conferma che gli attacchi sono tuttora in corso. I bersagli specifici sono i PLC di Rockwell Automation/Allen-Bradley, utilizzati in impianti di trattamento delle acque reflue, servizi idrici e infrastrutture energetiche sparse sul territorio statunitense.
Il gruppo responsabile è noto come CyberAv3ngers. Una mappatura ha rilevato oltre 5.200 dispositivi esposti direttamente su Internet, il che li rende raggiungibili e potenzialmente vulnerabili. L’accesso ai PLC è avvenuto sfruttando Rockwell Studio 5000 Logix Designer, che è il software legittimo di Rockwell, ma ospitato su un’infrastruttura di terze parti. Una volta dentro, gli hacker iraniani hanno estratto file e manipolato i dati visualizzati sui sistemi SCADA (Supervisory Control and Data Acquisition), ovvero quei pannelli che gli operatori usano per monitorare e gestire gli impianti in tempo reale.
Le conseguenze e le contromisure consigliate
Un attacco di questo tipo non è un semplice fastidio. Può provocare l’interruzione completa dei servizi, danni permanenti agli impianti e perdite economiche enormi. Basta pensare a cosa significherebbe, per una comunità, restare senza acqua potabile o senza energia elettrica a causa di una manipolazione esterna dei sistemi di controllo.
Le agenzie federali hanno raccomandato come prima misura di disconnettere immediatamente i PLC da Internet, eliminando qualsiasi possibilità di accesso remoto non protetto. Nei casi in cui l’accesso da remoto fosse indispensabile, deve avvenire esclusivamente attraverso connessioni VPN, firewall e proxy adeguatamente configurati. Rockwell Automation ha pubblicato sul proprio sito ufficiale un elenco dettagliato di misure protettive da adottare per mettere in sicurezza i dispositivi coinvolti.
