Attacco SCADA nel mirino: le APT iraniane prendono di mira i controllori Unitronics negli Stati Uniti
@Informatica (Italy e non Italy)
A partire da marzo 2026, attori APT affiliati all'Iran hanno compromesso almeno 75 controllori programmabili Unitronics negli USA, utilizzando il software legittimo Studio 5000 Logix Designer per modificare la
Attacco SCADA nel mirino: le APT iraniane prendono di mira i controllori Unitronics negli Stati Uniti
Si parla di:
Toggle
- Contesto dell’operazione e portata dell’attacco
- Metodologie di attacco e indicatori tecnici
- Indicatori di compromissione (IoCs)
- Impatto operativo e rischi
- Raccomandazioni di difesa
A partire da marzo 2026, attori APT affiliati all’Iran hanno intensificato le operazioni di cyberattacco contro l’infrastruttura critica statunitense, sfruttando direttamente le esposizioni di controllori programmabili (PLC) di Unitronics e Rockwell Automation online. Secondo un avviso congiunto pubblicato dal CISA, dall’FBI e dalla NSA l’aprile 2026, questi attacchi rappresentano una minaccia diretta ai sistemi di controllo industriale (SCADA/HMI) che gestiscono funzioni critiche nelle utilities idriche, nei sistemi energetici e nelle strutture governative.La novità inquietante è che gli attaccanti non stanno sfruttando vulnerabilità zero-day o malware sofisticato: invece, stanno utilizzando il software legittimo Rockwell Automation Studio 5000 Logix Designer per accedere direttamente ai PLC esposti, modificare i file di progetto contenenti la logica ladder, e falsificare i dati visualizzati sulle interfacce HMI (Human-Machine Interface). Una tecnica che trasforma il software di ingegneria industriale in un vettore di attacco praticamente invisibile alle difese tradizionali.
Contesto dell’operazione e portata dell’attacco
Le operazioni di ricognizione hanno identificato almeno 75 dispositivi compromessi distribuiti tra settori critici statunitensi. Tuttavia, il dato più allarmante emerge dall’analisi della superficie d’attacco: Censys ha riportato che oltre 5.219 PLC Rockwell/Allen-Bradley sono attualmente esposti a Internet, creando un bersaglio potenziale massivo per le operazioni offensive iraniane.Gli attori APT affiliati all’Iran stanno accedendo ai dispositivi utilizzando indirizzi IP forniti da provider di hosting di terze parti, presumibilmente per mascherare la loro origine geografica. Una volta all’interno, stabiliscono connessioni autenticate sfruttando le credenziali ottenute da precedenti ricognizioni o mediante attacchi di brute force contro interfacce web esposte.
L’FBI ha formalmente valutato che questa campagna è motivata da ritorsioni geopolitiche legate alle ostilità tra Stati Uniti, Israele e Iran. Le operazioni si sono intensificate in parallelo ai crescenti attriti regionali, suggerendo che le infrastrutture critiche americane sono state designate come obiettivi di rappresaglia informatica.
Metodologie di attacco e indicatori tecnici
Gli attaccanti mantengono persistenza attraverso la modifica diretta dei file di progetto .ACD (AutoCAD) che contengono la logica ladder, gli script di automazione e le configurazioni dei PLC. Modificando questi file prima di sincronizzarli con i controller, gli attori APT possono inserire comportamenti malevoli che verranno riprodotti ogni volta che il PLC viene alimentato o riavviato.Le porte di accesso monitorate includono:
- Porta 44818 (Rockwell Automation native)
- Porta 2222 (SSH alternativo)
- Porta 102 (Siemens S7 protocol)
- Porta 22 (SSH standard)
- Porta 502 (Modbus TCP)
La molteplicità di protocolli suggerisce che gli attaccanti stanno sfruttando un’unica campagna per accedere a dispositivi di produttori diversi: non solo Rockwell Automation e Unitronics, ma potenzialmente anche controllori Siemens S7 e altri standard OT.
Una volta dentro, gli attori hanno estratto file di configurazione contenenti la logica intera dell’infrastruttura, fornendogli una roadmap completa dell’architettura di controllo. Inoltre, hanno modificato i valori visualizzati sulle interfacce HMI per mostrare false letture agli operatori umani, disaccoppiando quello che gli ingegneri vedono sugli schermi da quello che i PLC stanno effettivamente eseguendo.
Indicatori di compromissione (IoCs)
Sebbene il CISA non abbia pubblicato una lista completa di IoCs nella versione iniziale dell’avviso, gli indirizzi IP utilizzati dagli attaccanti includono range associati a provider di hosting europei. Le organizzazioni dovrebbero monitorare:
- Connessioni non autorizzate alle porte 44818, 2222, 102, 22, 502
- Modifiche inaspettate ai file .ACD e .L5K (Rockwell Automation project files)
- Accessi a Studio 5000 Logix Designer durante ore non-lavorative
- Alterazioni dei timestamp di accesso ai sistemi HMI/SCADA
- Estrazione massiva di file di progetto verso destinazioni esterne
Impatto operativo e rischi
Le organizzazioni vittime hanno segnalato varie forme di disruption:
- Interruzioni nei sistemi di trattamento delle acque
- Alterazioni nei parametri di controllo energetico
- Falsificazione dei dati storici di telemetria
- Potenziale esposizione di procedimenti critici a spilorcare/manipolazione
Una delle implicazioni più insidiose è che i PLC modificati continuano a funzionare apparentemente normalmente secondo le metriche di superficie, mentre la logica sottostante è stata completamente compromessa. Uno scenario di “perfect impersonation” che rende estremamente difficile rilevare l’attacco senza audit tecnici approfonditi della logica ladder.
Raccomandazioni di difesa
Le organizzazioni OT dovrebbero implementare immediatamente:
- Air-gapping e segmentazione: disconnettere fisicamente i PLC critici da qualsiasi rete esterna. Se la connettività remota è essenziale, implementare DMZ dedicate e controlli di accesso granulari.
- Protezione dell’accesso remoto: disabilitare gli accessi da Studio 5000 Logix Designer su connessioni remote non crittografate. Implementare VPN con autenticazione multi-fattore.
- Monitoraggio della logica ladder: implementare sistemi di versioning e change management per i file .ACD. Qualsiasi modifica deve essere confrontata con baseline storiche approvate.
- Honeypots e deception: distribuire controller PLC decoy connessi a Internet per rilevare e tracciare i tentativi di accesso malevoli.
- Incident response capability: istituire playbook di risposta per scenari di compromissione PLC.
L’adozione di queste contromisure è critica per le organizzazioni nei settori water, energy, government, e manufacturing. La sofisticazione dell’attacco non risiede nel malware o negli exploit, ma nella comprensione profonda degli ambienti OT e nella capacità di manipolare la realtà percepita dagli operatori umani.
Attacco SCADA nel mirino: le APT iraniane prendono di mira i controllori Unitronics negli Stati Uniti - (in)sicurezza digitale
A partire da marzo 2026, attori APT affiliati all'Iran hanno compromesso almeno 75 controllori programmabili Unitronics negli USA, utilizzando il software legittimo Studio 5000 Logix Designer per modificare la logica ladder e falsificare i dati HMI.Dario Fadda ((in)sicurezza digitale)