Un colectivo hacktivista llamado fantasma se ha atribuido el mérito de comprometer hasta 55 controladores lógicos programables (PLC) de Berghof utilizados por organizaciones israelíes como parte de una campaña de “Palestina libre”.
Empresa de ciberseguridad industrial OTORIO, que cavado más profundo en el incidente, dijo que la violación fue posible debido al hecho de que los PLC eran accesibles a través de Internet y estaban protegidos por credenciales fáciles de adivinar.
Los detalles del compromiso salieron a la luz por primera vez el 4 de septiembre después de que GhostSec compartiera un video en su canal de Telegram que demostraba un inicio de sesión exitoso en el panel de administración del PLC, además de descargar datos de los controladores pirateados.
La compañía israelí dijo que los volcados del sistema y las capturas de pantalla se exportaron directamente desde el panel de administración luego del acceso no autorizado a los controladores a través de sus direcciones IP públicas.
GhostSec (también conocido como Ghost Security), identificado por primera vez en 2015, es un autoproclamado grupo de vigilantes que se formó inicialmente para apuntar a los sitios web de ISIS que predican el extremismo islámico.
A principios de febrero, el grupo reunió su apoyo a Ucrania inmediatamente después de la invasión militar del país por parte de Rusia. Desde finales de junio, también ha participado en una campaña dirigida a organizaciones y empresas israelíes.
“El grupo abandonó sus operaciones habituales y comenzó a apuntar a varias empresas israelíes, presumiblemente obteniendo acceso a varias interfaces de IoT y sistemas ICS/SCADA, lo que provocó posibles interrupciones”, Cyberint señalado el 14 de julio.
Se dice que los ataques contra objetivos israelíes, denominados “#OpIsrael”, comenzaron el 28 de junio de 2022, citando “ataques continuos de Israel hacia los palestinos”.
En el período intermedio, GhostSec ha llevado a cabo una serie de ataques, incluidos los dirigidos a las interfaces expuestas a Internet que pertenecen a Bezeq International y un medidor de energía ELNet ubicado en el Centro de Industrias Científicas (Matam).
La violación de los PLC de Berghof, vista de esa manera, es parte del cambio más amplio del actor para atacar el dominio SCADA/ICS, aunque parece ser un caso en el que el grupo se aprovechó de “configuraciones erróneas de los sistemas industriales que se pasan por alto fácilmente” para llevar a cabo los ataques
“A pesar del bajo impacto de este incidente, este es un gran ejemplo en el que un ataque cibernético podría haberse evitado fácilmente con una configuración simple y adecuada”, dijeron los investigadores.
“Deshabilitar la exposición pública de los activos a Internet y mantener una buena política de contraseñas, especialmente cambiando las credenciales de inicio de sesión predeterminadas, haría que el intento de violación de los hacktivistas fracasara”.
Mientras tanto, GhostSec ha seguido publicando más capturas de pantalla, afirmando haber obtenido acceso a otro panel de control que se puede usar para alterar los niveles de cloro y pH en el agua.
“Espero que todos puedan entender nuestra decisión de no atacar sus niveles de pH y arriesgarse a dañar a los inocentes de #Israel”, dijo el grupo en un tuit publicado durante el fin de semana. “Nuestra ‘guerra’ siempre ha sido A FAVOR del pueblo, no contra él. #FreePalestine”