Micitt alerta por actividad maliciosa asociada a “CyberAv3ngers” de Irán
El Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones emitió una alerta ante la detección de actividad informática maliciosa dirigida a dispositivos industriales tipo Programmable Logic Controllers (PLC), atribuida a actores de amenaza persistente avanzada (APT) vinculados a Irán, entre ellos los denominados "CyberAv3ngers", por los que se ofrece una recompensa de $10 millones a quien brinde información sobre este grupo.
Un PLC o controlador lógico programable es una computadora industrial utilizada para automatizar procesos en tiempo real, como líneas de producción y maquinaria, que recibe señales de entrada para ejecutar acciones de salida.
El boletín va dirigido a los directores y jefes de Tecnologías de Información para que tomen las consideraciones necesarias. Se publicó un día después de que RSM Defense, una plataforma de servicios de ciberseguridad, advirtiera sobre una campaña en curso relacionada con Irán que explota las vulnerabilidades de PLCs expuestos en Internet para interrumpir infraestructura crítica de EE. UU.
Los actores identificados están asociados a grupos como "CyberAv3ngers" (también conocidos como Hydro Kitten o Storm-0784), vinculados al IRGC Cyber Electronic Command, que han demostrado capacidades para comprometer sistemas industriales mediante accesos remotos, explotación de vulnerabilidades conocidas y uso de infraestructura maliciosa distribuida.
La cartera de Ciencia y Tecnología indicó que durante labores de monitoreo e inteligencia de amenazas, se identificó una campaña activa dirigida a sistemas de control industrial (ICS).
Esta actividad ocurre en un contexto de tensiones geopolíticas en Medio Oriente, donde históricamente estos actores han priorizado ataques disruptivos contra infraestructura crítica.
"La evidencia indica que múltiples sectores han sido afectados, incluyendo servicios de agua, energía, tecnología, educación y gobierno local, con presencia de actividad en diversas regiones.
Los ataques han resultado en interrupciones operativas reales, lo que confirma la capacidad de estos actores para impactar procesos físicos", señaló el Micitt.
En el caso específico de los PLCs representan un objetivo crítico debido a que, en muchos entornos, carecen de controles de seguridad modernos, presentan exposición directa a Internet o mantienen conexiones inseguras con redes IT.
Esto facilita su explotación mediante técnicas relativamente simples pero efectivas. El compromiso de estos dispositivos puede derivar en afectaciones significativas, incluyendo interrupción de servicios esenciales, manipulación de procesos industriales y daños económicos.
"En este contexto, se recomienda reforzar de manera urgente las medidas de seguridad en entornos de tecnología operativa (OT) y validar los indicadores de compromiso asociados", aconseja la entidad.
Agregó que investigaciones recientes confirman la explotación activa de PLCs en infraestructuras críticas, principalmente en sectores como el energético, acueductos, manufactura y servicios gubernamentales.
Estas actividades han provocado interrupciones operativas y pérdidas financieras, evidenciando un riesgo elevado para organizaciones que dependen de OT.
Consejos
El Ministerio dio una serie de recomendaciones que incluyen:
- Eliminar la exposición directa de PLCs a Internet mediante el uso de firewalls y gateways seguros.
- Segmentar adecuadamente las redes OT de las redes IT.
- Restringir el acceso remoto únicamente a conexiones seguras y controladas.
- Monitorear tráfico hacia puertos industriales, especialmente desde direcciones externas.
- Aplicar parches de seguridad a dispositivos y software asociados a PLCs.
- Revisar logs en busca de actividad anómala o conexiones sospechosas.
- Implementar soluciones de monitoreo continuo y detección de anomalías en entornos OT.
- Seguir las recomendaciones de fabricantes (por ejemplo, configuraciones seguras en controladores).
- Fortalecer controles de acceso y autenticación en sistemas industriales.