La CISA (Cybersecurity & Infrastructure Security Agency) avertit que des acteurs malveillants ont violé une installation d’eau américaine en piratant les contrôleurs logiques programmables (PLC) Unitronics exposés en ligne.
Les automates programmables sont des dispositifs de contrôle et de gestion cruciaux dans les environnements industriels, et les pirates informatiques les compromettant pourraient avoir de graves répercussions, telles que la contamination de l’approvisionnement en eau en manipulant l’appareil pour modifier le dosage de produits chimiques.
D’autres risques incluent une interruption du service entraînant un arrêt de l’approvisionnement en eau et des dommages physiques à l’infrastructure en raison d’une surcharge des pompes ou de l’ouverture et de la fermeture des vannes.
La CISA a confirmé que des pirates informatiques avaient déjà pénétré une installation d’eau américaine en piratant ces appareils. Cependant, l’attaque n’a pas compromis la sécurité de l’eau potable pour les communautés desservies.
« Les acteurs de la cybermenace ciblent les automates associés aux installations WWS, y compris un automate Unitronics identifié, dans une installation de distribution d’eau aux États-Unis », lit-on dans l’alerte de la CISA.
« En réponse, l’autorité des eaux de la municipalité concernée a immédiatement mis le système hors ligne et est passé aux opérations manuelles. Il n’y a aucun risque connu pour l’eau potable ou l’approvisionnement en eau de la municipalité. »
L’agence souligne que les acteurs malveillants profitent de mauvaises pratiques de sécurité pour attaquer les automates Unitronics Vision Series avec une interface homme-machine (IHM) plutôt que d’exploiter une vulnérabilité zero-day sur le produit.
Les mesures recommandées pour les administrateurs système sont :
- Remplacez le mot de passe par défaut de l’automate Unitronics, en vous assurant que « 1111 » n’est pas utilisé.
- Mettez en œuvre la MFA (authentification multifacteur) pour tous les accès à distance au réseau de technologie opérationnelle (OT), y compris l’accès depuis les réseaux informatiques et externes.
- Déconnectez l’automate de l’Internet ouvert. Si l’accès à distance est nécessaire, utilisez une configuration pare-feu/VPN pour contrôler l’accès.
- Sauvegardez régulièrement la logique et les configurations pour une récupération rapide en cas d’attaques de ransomware.
- Évitez d’utiliser le port TCP par défaut 20256, qui est couramment ciblé par les cyber-acteurs. Si possible, utilisez un autre port TCP et employez des filtres PCOM/TCP pour plus de sécurité.
- Mettez à jour le micrologiciel de l’automate/IHM vers la dernière version fournie par Unitronics.
Bien que l’avis de la CISA ne précise pas l’auteur de la menace à l’origine des attaques, Cyberscoop a rapporté qu’un récent piratage de l’autorité municipale des eaux d’Aliquippa, en Pennsylvanie, a été mené par des attaquants iraniens.
Dans le cadre de cette attaque, les acteurs malveillants ont détourné les automates Unitronics pour afficher un message des acteurs malveillants.
CISA a également annoncé en septembre 2023 un programme d’analyse de sécurité gratuit pour les infrastructures critiques telles que les services d’eau afin de les aider à identifier les failles de sécurité et à protéger leurs systèmes contre les attaques opportunistes.