CyberAv3ngers - irańskie ataki na sterowniki PLC w amerykańskich wodociągach
CyberAv3ngers (IRGC) - analiza ataków na sterowniki Unitronics Vision PLC w wodociągach USA (2023). Domyślne hasła, CISA AA23-335A, MITRE ICS T0859/T0855.
Aliquippa, Pensylwania, 25 listopada 2023 roku. W lokalnym przedsiębiorstwie wodociągowym Municipal Water Authority - niewielkim zakładzie obsługującym nieco ponad 7000 mieszkańców - operator spogląda na panel sterownika Unitronics Vision, który zarządza pompownią regulującą ciśnienie wody. Na ekranie HMI zamiast zwykłego interfejsu procesowego widzi obraz z flagą Iranu i napisem: “You have been hacked. Down with Israel. Every equipment ‘made in Israel’ is CyberAv3ngers legal target.”
Sterownik PLC - serce systemu sterowania pompownią - jest w rękach kogoś innego. Operator przechodzi na sterowanie ręczne. Dostawy wody nie zostają przerwane. Ale pytanie, które tego dnia postawili sobie eksperci bezpieczeństwa w całych Stanach Zjednoczonych, brzmiało: jak to możliwe, że irańscy hakerzy przejęli kontrolę nad infrastrukturą wodociągową amerykańskiego miasta, nie wykorzystując żadnej zaawansowanej podatności?
Odpowiedź była prosta i przygnębiająca: domyślne hasło “1111”.
Kontekst - CyberAv3ngers i IRGC
CyberAv3ngers (pisane też Cyber Av3ngers) to grupa powiązana z Korpusem Strażników Rewolucji Islamskiej (IRGC - Islamic Revolutionary Guard Corps), formacją wojskową Iranu odpowiedzialną m.in. za operacje cybernetyczne. Grupa aktywna jest co najmniej od 2020 roku, ale na szeroką skalę zaczęła działać jesienią 2023 roku - w kontekście eskalacji konfliktu izraelsko-palestyńskiego po ataku Hamasu z 7 października.
Motywacja CyberAv3ngers miała charakter ideologiczny i geopolityczny. Grupa otwarcie deklarowała, że jej celem jest każde urządzenie wyprodukowane w Izraelu. Sterowniki Unitronics - izraelskiej firmy produkującej sterowniki PLC i panele HMI stosowane na całym świecie, w tym w sektorze wodno-kanalizacyjnym, energetycznym, spożywczym i ochrony zdrowia - stały się naturalnym celem.
Chronologia kampanii
| Data | Wydarzenie |
|---|---|
| Październik 2023 | CyberAv3ngers rozpoczyna kampanię wymierzoną w izraelskie systemy wodociągowe |
| 25 listopada 2023 | Atak na Municipal Water Authority of Aliquippa, PA - przejęcie sterownika Unitronics Vision |
| 28 listopada 2023 | CISA wydaje pierwsze ostrzeżenie o eksploatacji sterowników Unitronics w sektorze wodno-kanalizacyjnym |
| 1 grudnia 2023 | CISA, FBI, NSA, EPA publikują wspólny advisory AA23-335A |
| Grudzień 2023 | Potwierdzenie kompromitacji co najmniej 75 urządzeń Unitronics, w tym 34 w sektorze wodno-kanalizacyjnym USA |
| Luty 2024 | Departament Stanu USA wyznacza nagrodę 10 mln USD za informacje o grupie |
Anatomia ataku - banalnie proste, przerażająco skuteczne
Wektor ataku CyberAv3ngers nie wymagał żadnego zaawansowanego narzędzia. Schemat był następujący:
Krok 1: Skanowanie internetu. Sterowniki Unitronics Vision pracowały z otwartym portem sieciowym, dostępnym bezpośrednio z internetu. Nie były chronione zaporą ogniową ani VPN. Znalezienie ich wymagało jedynie przeszukania publicznie dostępnych baz danych urządzeń podłączonych do sieci.
Krok 2: Logowanie domyślnymi danymi. Sterowniki Unitronics Vision Series miały fabryczne hasło “1111”. W wielu instalacjach - w tym w Aliquippa - hasło to nigdy nie zostało zmienione. Atakujący po prostu logowali się do panelu HMI z domyślnymi poświadczeniami.
Krok 3: Przejęcie kontroli. Po zalogowaniu atakujący mieli pełny dostęp do interfejsu sterowania - mogli modyfikować parametry procesu, zmieniać nastawy i wyświetlać własne komunikaty na ekranie HMI. W Aliquippa poprzestali na defacement’cie (wyświetleniu propagandowego komunikatu), ale potencjał do zakłócenia procesu wodociągowego był realny.
Według danych CISA, kampania CyberAv3ngers doprowadziła do kompromitacji co najmniej 75 urządzeń Unitronics na całym świecie, z czego 34 znajdowały się w amerykańskim sektorze wodno-kanalizacyjnym.
MITRE ATT&CK - mapowanie technik
| Taktyka | ID | Opis w kontekście CyberAv3ngers |
|---|---|---|
| Initial Access | T0859 (Valid Accounts) | Wykorzystanie domyślnych haseł fabrycznych (1111) do sterowników Unitronics |
| Impair Process Control | T0855 (Unauthorized Command Message) | Możliwość wysyłania nieautoryzowanych poleceń do PLC po przejęciu dostępu |
| Impact | T0826 (Loss of Availability) | Potencjalna utrata dostępności systemu sterowania pompownią |
| Discovery | T0846 (Remote System Discovery) | Skanowanie internetu w poszukiwaniu urządzeń Unitronics z otwartymi portami |
| Persistence | T0839 (Module Firmware) | Możliwość modyfikacji konfiguracji sterownika i ustawienie własnych komunikatów |
Dlaczego ten atak jest ważny
Atak CyberAv3ngers nie spowodował katastrofy. Dostawy wody w Aliquippa nie zostały przerwane. Ale ten incydent obnażył systemowy problem - tysiące sterowników PLC w krytycznej infrastrukturze na całym świecie pracują z domyślnymi hasłami, podłączone bezpośrednio do internetu, bez żadnych warstw ochronnych.
Problem nie ogranicza się do Unitronics. Domyślne hasła i brak segmentacji to plaga wielu instalacji ICS - od wodociągów po systemy HVAC i energetykę. CyberAv3ngers po prostu pokazali, jak łatwo to wykorzystać, gdy ktoś ma motywację.
Przypadek Aliquippa przyspieszył również dyskusję regulacyjną w USA. Kongresmani z Pensylwanii złożyli projekty ustaw zwiększających wsparcie cyberbezpieczeństwa dla małych operatorów wodociągowych, a EPA i CISA zintensyfikowały programy pomocy technicznej dla sektora wodno-kanalizacyjnego.
Jak się chronić
TIP
Natychmiast zmień wszystkie domyślne hasła na sterownikach PLC i panelach HMI. To nie jest rekomendacja - to konieczność. Advisory CISA AA23-335A wprost wskazuje, że kampania CyberAv3ngers wykorzystywała wyłącznie domyślne poświadczenia. Temat bezpiecznego zarządzania hasłami i dostępem opisujemy szerzej w kontekście zdalnego dostępu do systemów ICS.
TIP
Nigdy nie wystawiaj sterowników PLC i paneli HMI bezpośrednio do internetu. Każdy dostęp zdalny powinien odbywać się wyłącznie przez VPN z uwierzytelnianiem wieloskładnikowym (MFA). Więcej o architekturze bezpiecznego dostępu do sieci OT w artykule o segmentacji sieci OT.
TIP
Przeprowadź inwentaryzację zasobów ICS ze szczególnym uwzględnieniem urządzeń dostępnych z internetu. Narzędzia takie jak Tenable.ot pozwalają zidentyfikować sterowniki z domyślnymi poświadczeniami i otwartymi portami sieciowymi.
TIP
Wdróż monitoring ruchu sieciowego na styku IT/OT. Nawet jeśli atakujący zaloguje się prawidłowymi poświadczeniami, anomalie w ruchu sieciowym (logowanie z nietypowego adresu IP, w nietypowej porze) mogą zostać wykryte przez systemy IDS/IPS zoptymalizowane dla środowisk OT.
TIP
Zapoznaj się z advisory CISA AA23-335A i wdróż wszystkie zawarte w nim rekomendacje. Dokument jest dostępny publicznie i zawiera szczegółowe wytyczne techniczne dla operatorów sterowników Unitronics.
Podsumowanie
CyberAv3ngers to przypadek, który powinien być omawiany na każdym szkoleniu z bezpieczeństwa OT. Nie dlatego, że atak był wyrafinowany - wręcz przeciwnie. Dlatego, że pokazał, jak daleko można zajść, wykorzystując najprostsze możliwe błędy konfiguracyjne: domyślne hasło i brak segmentacji sieciowej.
Dla operatorów infrastruktury wodociągowej, energetycznej i przemysłowej w Europie - gdzie sterowniki Unitronics i innych producentów są równie powszechne - ten incydent powinien być impulsem do natychmiastowego audytu: czy Twoje sterowniki PLC mają zmienione domyślne hasła? Czy są dostępne z internetu?
Źródła
- IRGC-Affiliated Cyber Actors Exploit PLCs in Multiple Sectors - CISA AA23-335A
- Exploitation of Unitronics PLCs used in Water and Wastewater Systems - CISA
- Municipal Water Authority of Aliquippa hacked by Iranian-backed cyber group - CBS Pittsburgh
- Iran-linked cyberattacks threaten equipment used in U.S. water systems and factories - NPR
- CyberAv3ngers Compromise Unitronics PLCs - University of Hawaii Cyber
- Cyber incident against a water authority in Pennsylvania (2023) - CCDCOE