Hackers vinculados a Irán amplían sus ataques a infraestructuras críticas de EE.UU. explotando PLCs de Rockwell Automation
Introducción
En un contexto de creciente tensión geopolítica y sofisticación de amenazas, actores vinculados al gobierno iraní han intensificado sus campañas de ciberataques dirigidas a infraestructuras críticas estadounidenses. Según informes recientes, dichos grupos están explotando vulnerabilidades en miles de controladores lógicos programables (PLCs) de Rockwell Automation expuestos en Internet, ampliando significativamente la superficie de ataque y poniendo en riesgo sectores esenciales como energía, agua y manufactura.
Contexto del Incidente
El interés de grupos de amenaza persistente avanzada (APT) patrocinados por Irán sobre infraestructuras críticas estadounidenses no es nuevo. Sin embargo, en los últimos meses se ha observado un cambio en los vectores de ataque, apuntando de manera sistemática a dispositivos industriales que tradicionalmente han carecido de una adecuada protección de ciberseguridad. Los PLCs de Rockwell Automation, utilizados para la automatización de procesos y sistemas industriales, se han convertido en un objetivo prioritario debido a su exposición a redes públicas y a la existencia de vulnerabilidades conocidas.
El informe de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE.UU. (CISA) alerta sobre campañas activas en las que estos dispositivos han sido identificados y atacados mediante técnicas automatizadas de rastreo y explotación, facilitadas por buscadores de dispositivos industriales como Shodan y Censys.
Detalles Técnicos
La campaña identificada está dirigida principalmente a PLCs de las gamas Allen-Bradley ControlLogix y CompactLogix, ampliamente desplegados en infraestructuras críticas. Se estima que existen más de 5.000 dispositivos de este tipo expuestos en Internet, muchos de ellos con configuraciones por defecto o credenciales débiles.
Entre las vulnerabilidades explotadas destacan:
– CVE-2023-3595: Ejecución remota de código en dispositivos ControlLogix a través de una validación insuficiente de entradas, con una puntuación CVSS de 9,8 (crítica).
– CVE-2021-22681: Exposición de claves criptográficas en el portal Studio 5000 Logix Designer, permitiendo la manipulación de firmware y posibles cargas maliciosas.
Las TTPs observadas corresponden a las fases de “Initial Access” y “Execution” del marco MITRE ATT&CK for ICS, empleando técnicas como:
– T0886 (Remote System Discovery)
– T0859 (Module Load)
– T0847 (Spearphishing Attachment)
– Uso de herramientas de explotación automatizada (Metasploit, scripts Python personalizados)
Los indicadores de compromiso (IoCs) incluyen conexiones inusuales a puertos 44818/TCP (protocolo EtherNet/IP), cambios en configuraciones de firmware y presencia de archivos binarios no autorizados.
Impacto y Riesgos
La explotación exitosa de estos PLCs puede derivar en consecuencias graves, incluyendo paradas no planificadas de procesos industriales, sabotaje de sistemas de control, manipulación de parámetros críticos y, en el peor de los casos, daños físicos a infraestructuras. Dada la criticidad de los sectores afectados, un ataque coordinado podría tener efectos disruptivos a nivel nacional.
Se estima que hasta un 30% de los dispositivos expuestos podrían ser vulnerables a ataques conocidos, y expertos advierten que la explotación de PLCs puede pasar inadvertida para soluciones tradicionales de detección, ya que se utilizan protocolos ICS específicos y comandos legítimos.
Desde el punto de vista económico, un incidente de interrupción significativa podría ocasionar pérdidas de decenas de millones de dólares, además de posibles sanciones regulatorias bajo el marco NIS2 y obligaciones de notificación según el GDPR en caso de fuga de información personal.
Medidas de Mitigación y Recomendaciones
CISA y Rockwell Automation han emitido recomendaciones urgentes para mitigar estos riesgos:
– Segmentar las redes OT/ICS y restringir el acceso desde Internet.
– Cambiar inmediatamente las credenciales por defecto y aplicar políticas robustas de contraseña.
– Aplicar los parches de seguridad disponibles para las vulnerabilidades mencionadas.
– Monitorizar los logs de acceso y actividad en los PLCs, priorizando alertas en los puertos de gestión.
– Deshabilitar interfaces y servicios innecesarios, y aplicar listas blancas de dispositivos autorizados.
– Realizar auditorías regulares de exposición mediante herramientas como Shodan y Censys.
– Implementar detección de anomalías específicas para tráfico EtherNet/IP y cambios en firmware.
Opinión de Expertos
Especialistas en ciberseguridad industrial, como Robert Lee (Dragos) y Sergio Caltagirone (Threat Intelligence), advierten que la falta de segmentación y el uso de configuraciones inseguras continúan siendo los principales facilitadores de estos ataques. Recomiendan priorizar la visibilidad en entornos OT y la colaboración estrecha entre equipos IT y de operaciones industriales.
Implicaciones para Empresas y Usuarios
Para los responsables de seguridad, la creciente exposición de activos industriales a Internet exige una revisión urgente de las políticas de acceso remoto y una inversión en capacidades de detección específicas para entornos ICS. La falta de acción puede desencadenar no sólo pérdidas económicas y operacionales, sino también responsabilidades legales bajo normativas como NIS2 y GDPR.
Para los usuarios finales y operadores, es crucial seguir las recomendaciones de los fabricantes y mantenerse informados sobre nuevas vulnerabilidades y exploits publicados.
Conclusiones
La campaña de ataques orquestada por actores vinculados a Irán evidencia la urgente necesidad de reforzar la ciberseguridad en infraestructuras críticas, especialmente en dispositivos industriales tradicionalmente desatendidos. La protección de PLCs y la reducción de su exposición a Internet deben ser prioritarias para mitigar riesgos sistémicos y garantizar la resiliencia de los servicios esenciales.
(Fuente: www.bleepingcomputer.com)