Un collectif hacktiviste appelé GhostSec a revendiqué le mérite d’avoir compromis jusqu’à 55 contrôleurs logiques programmables (PLC) Berghof utilisés par des organisations israéliennes dans le cadre d’une campagne « Free Palestine ».
La société de cybersécurité industrielle OTORIO, qui creusé plus profondément dans l’incident, a déclaré que la violation a été rendue possible grâce au fait que les automates étaient accessibles via Internet et étaient sécurisés par des informations d’identification trivialement devinables.
Les détails du compromis ont été révélés pour la première fois le 4 septembre après que GhostSec a partagé une vidéo sur sa chaîne Telegram démontrant une connexion réussie au panneau d’administration de l’automate, en plus de vider les données des contrôleurs piratés.
La société israélienne a déclaré que les vidages du système et les captures d’écran ont été exportés directement depuis le panneau d’administration suite à un accès non autorisé aux contrôleurs via leurs adresses IP publiques.
GhostSec (aka Ghost Security), identifié pour la première fois en 2015, est un autoproclamé groupe d’autodéfense qui a été initialement formé pour cibler les sites Web de l’Etat islamique qui prêchent l’extrémisme islamique.
Plus tôt en février, le groupe a rallié son soutien à l’Ukraine au lendemain de l’invasion militaire du pays par la Russie. Depuis fin juin, il participe également à une campagne ciblant les organisations et entreprises israéliennes.
« Le groupe a pivoté de ses opérations régulières et a commencé à cibler plusieurs entreprises israéliennes, obtenant vraisemblablement l’accès à diverses interfaces IoT et systèmes ICS/SCADA, ce qui a entraîné d’éventuelles perturbations », a déclaré Cyberint. c’est noté le 14 juillet.
Les attaques contre des cibles israéliennes, surnommées « #OpIsrael », auraient commencé le 28 juin 2022, citant « des attaques continues d’Israël contre les Palestiniens ».
Dans l’intervalle, GhostSec a mené un certain nombre d’attaques, notamment celles visant des interfaces exposées à Internet appartenant à Bezeq International et un wattmètre ELNet situé au Scientific Industries Center (Matam).
La violation des automates Berghof, vue sous cet angle, fait partie du changement plus large de l’acteur pour frapper le domaine SCADA / ICS, bien qu’il semble être un cas dans lequel le groupe a profité de « mauvaises configurations facilement ignorées des systèmes industriels » pour mener à bien les attaques.
« Malgré le faible impact de cet incident, il s’agit d’un excellent exemple où une cyberattaque aurait pu facilement être évitée par une configuration simple et appropriée », ont déclaré les chercheurs.
« La désactivation de l’exposition publique des actifs à Internet et le maintien d’une bonne politique de mot de passe, en particulier la modification des identifiants de connexion par défaut, entraîneraient l’échec de la tentative de violation des hacktivistes. »
Pendant ce temps, GhostSec a continué à publier plus de captures d’écran, affirmant avoir eu accès à un autre panneau de contrôle qui peut être utilisé pour modifier les niveaux de chlore et de pH dans l’eau.
« J’espère que vous comprendrez tous notre décision de ne pas attaquer leurs niveaux de pH et de risquer une chance de nuire aux innocents d’#Israël », a déclaré le groupe dans un tweet publié ce week-end. « Notre ‘guerre’ a toujours été POUR le peuple et non contre lui. #FreePalestine »
