Uma pequena autoridade de abastecimento de água do oeste da Pensilvânia foi uma das diversas organizações nos Estados Unidos violadas por hackers afiliados ao Irã. Eles visaram um dispositivo de controle industrial específico por ser de fabricação israelense, dizem as autoridades dos EUA e de Israel.
“As vítimas abrangem vários estados dos EUA”, disse o FBI, a Agência de Proteção Ambiental, a Agência de Segurança Cibernética e de Infraestrutura (CISA) e a Diretoria Nacional Cibernética de Israel, em um comunicado enviado por e-mail para a Associated Press na sexta-feira.
Eles não disseram quantas organizações foram hackeadas nem as descreveram de outra forma.
Matthew Mottes, presidente da Autoridade Municipal de Águas de Aliquippa, que descobriu que havia sido hackeado em 25 de novembro, disse na quinta-feira que autoridades federais lhe disseram que o mesmo grupo também violou quatro outros serviços públicos e um aquário.
Especialistas em segurança cibernética dizem que, embora não haja evidências do envolvimento iraniano no ataque de 7 de outubro a Israel pelo Hamas que desencadeou a guerra em Gaza, eles esperavam que hackers iranianos apoiados pelo Estado e hacktivistas pró-palestinos intensificassem os ataques cibernéticos contra israelenses e seus aliados em suas consequências. E de fato isso aconteceu.
A consultoria multiagência explicou que a CISA não tinha, quando confirmou o hack na Pensilvânia na quarta-feira, que outras indústrias fora das instalações de água e tratamento de água usam o mesmo equipamento – os controladores lógicos programáveis Vision Series fabricados pela Unitronics – e também eram potencialmente vulneráveis.
Essas indústrias incluem “energia, fabricação de alimentos e bebidas e saúde”, afirma o comunicado. Os dispositivos regulam processos incluindo pressão, temperatura e fluxo de fluido.
O hack da Aliquippa promoveu que os trabalhadores parassem temporariamente o bombeamento em uma estação remota que regula a pressão da água em duas cidades próximas, levando as equipes à operação manual. Os hackers deixaram um cartão telefônico digital no dispositivo comprometido, dizendo que todos os equipamentos fabricados em Israel são “um alvo legal”.
A consultoria multiagência disse que não se sabe se os hackers tentaram penetrar mais profundamente nas redes violadas. O acesso que obtiveram permitiu “efeitos ciberfísicos mais profundos nos processos e equipamentos”, afirmou.
O comunicado diz que os hackers, que se autodenominam “Cyber Av3ngers”, são afiliados ao Corpo da Guarda Revolucionária Islâmica do Irã, que os EUA designaram como organização terrorista estrangeira em 2019. O grupo teve como alvo os dispositivos Unitronics pelo menos desde 22 de novembro, disse. .
Uma pesquisa online no sábado com o serviço Shodan identificou mais de 200 desses dispositivos conectados à Internet nos EUA e mais de 1.700 em todo o mundo.
O comunicado observa que os dispositivos Unitronics são fornecidos com uma senha padrão, uma prática que os especialistas desencorajam, pois os torna mais vulneráveis a hackers. As práticas recomendadas exigem que os dispositivos exijam que uma senha exclusiva seja criada imediatamente. Ele afirma que os hackers provavelmente acessaram os dispositivos afetados “explorando os pontos fracos da segurança cibernética, incluindo segurança de senha deficiente e exposição à Internet”.
Especialistas dizem que muitas empresas de abastecimento de água não prestaram atenção suficiente à segurança cibernética.
Em resposta ao hack do Aliquippa, três congressistas da Pensilvânia pediram ao Departamento de Justiça dos EUA, por meio de uma carta, que investigasse. Os americanos devem saber que a sua água potável e outras infraestruturas básicas estão protegidas de “adversários do Estado-nação e organizações terroristas”, disseram os senadores norte-americanos John Fetterman e Bob Casey e o deputado norte-americano Chris Deluzio. A Cyber Av3ngers afirmou em uma postagem nas redes sociais de 30 de outubro ter hackeado 10 estações de tratamento de água em Israel, embora não esteja claro se eles desligaram algum equipamento.
Desde o início da guerra Israel-Hamas, o grupo se expandiu e acelerou o ataque às infraestruturas críticas israelitas, disse Sergey Shykevich da Check Point. O Irã e Israel estavam envolvidos em conflitos cibernéticos de baixo nível antes de 7 de outubro. A Unitronics não respondeu às perguntas da AP sobre os hacks.
O ataque ocorreu menos de um mês depois de uma decisão de um tribunal federal de recurso ter levado a EPA a rescindir uma regra que obrigaria os sistemas públicos de água dos EUA a incluir testes de segurança cibernética nas suas auditorias regulares ordenadas pelo governo federal. A reversão foi desencadeada por uma decisão de um tribunal federal de apelações em um caso movido por Missouri, Arkansas e Iowa, e ao qual se juntou um grupo comercial de serviços de água.
A administração Biden tem tentado reforçar a segurança cibernética de infraestruturas críticas – mais de 80% das quais são propriedade privada – e impôs regulamentações a setores que incluem serviços de eletricidade, gasodutos e instalações nucleares. Mas muitos especialistas queixam-se de que demasiadas indústrias vitais estão autorizadas a auto-regular-se.