Las consecuencias y la posible exposición de los ataques respaldados por el Estado de Irán contra la infraestructura crítica de Estados Unidos se extienden a más de 5.200 dispositivos conectados a Internet, dijeron investigadores de Censys en un informe de inteligencia sobre amenazas Miércoles.

De los controladores lógicos programables fabricados por Rockwell Automation/Allen-Bradley que Censys identificó como potencialmente expuestos a atacantes del gobierno iraní, casi 3.900, o alrededor de 3 de cada 4, tienen su sede en Estados Unidos.

La firma de ciberseguridad identificó los dispositivos basándose en detalles que varias agencias federales compartieron en una alerta conjunta el martes y publicó indicadores adicionales de compromiso, incluidas las direcciones IP de los operadores y otras consultas de búsqueda de amenazas.

Las autoridades federales advirtieron a principios de esta semana que los atacantes del gobierno iraní explotaron dispositivos que controlan los procesos de automatización industrial y perturbaron múltiples sectores durante el último mes. Algunas víctimas también sufrieron pérdidas financieras como resultado de los ataques, dijeron las autoridades.

Los dispositivos de tecnología operativa se implementan en el sector energético, los sistemas de agua y aguas residuales y los servicios e instalaciones del gobierno de EE. UU.

Los escaneos de Censys detectaron 5,219 hosts de Rockwell Automation/Allen-Bradley PLC expuestos a Internet poco después de que el FBI, la Agencia de Seguridad Nacional, la Agencia de Seguridad de Infraestructura y Ciberseguridad, la Agencia de Protección Ambiental, el Departamento de Energía y el Comando Cibernético de EE. UU. emitieran la alerta conjunta.

Los investigadores de Censys determinaron que la mayoría de los dispositivos expuestos están conectados a través de sistemas celulares, lo que representa un riesgo significativo para las implementaciones de campo remotas. Casi la mitad de los dispositivos a nivel mundial están conectados a la red inalámbrica de Verizon y el 13% está conectado a la infraestructura de AT&T.

«Es casi seguro que estos dispositivos se implementen en infraestructura física (estaciones de bombeo, subestaciones, instalaciones municipales) con módems celulares como única ruta de Internet», escribieron los investigadores de Censys en el informe.

La posible superficie de ataque también se ve amplificada por servicios adicionales expuestos en otros puertos de estos dispositivos, un descubrimiento que Censys advirtió que podría permitir a los atacantes obtener caminos directos a operaciones más allá de la explotación de PLC.

Los investigadores tomaron las huellas digitales de los modelos MicroLogix y CompactLogix expuestos a la última campaña de amenazas y publicaron una lista de los 15 productos más expuestos. Según Censys, muchos de los dispositivos más destacados ejecutan software al final de su vida útil, un riesgo agravante que podría permitir a los atacantes priorizar los dispositivos sin parches al escanearlos.

Los ataques se remontan al menos a marzo, después de la guerra de Estados Unidos e Israel contra Irán, y estaban en marcha mientras otros atacantes respaldados por el gobierno iraní se cobraban otras víctimas, incluidos Stryker y los gobiernos locales.