Gli hacker legati all'Iran hanno raggiunto il display di controllo del deposito ferroviario della Metro di Los Angeles a marzo, scopre un'azienda israeliana.
Gli hacker iraniani erano dietro l'attacco informatico che ha costretto alcune parti dell'Autorità Metropolitana dei Trasporti della Contea di Los Angeles a disconnettersi a marzo, secondo una ricerca pubblicata martedì da Gambit Security, una società di cybersecurity di Tel Aviv che afferma di aver rintracciato 700 gigabyte di email rubate, backup e altri file fino a un server legato a una campagna iraniana precedentemente identificata.
I dati sono stati trovati, ha detto la società, dopo essere stati involontariamente lasciati esposti su un server accessibile pubblicamente. Da lì, gli analisti di Gambit hanno seguito le impronte di configurazione fino a un'operazione che funzionari israeliani e ricercatori esterni hanno attribuito separatamente a Teheran.
La conclusione non è che un'unità del governo iraniano abbia digitato personalmente i comandi, ma che l'infrastruttura utilizzata nell'intrusione LACMTA fa parte di un apparato iraniano noto.
L'intrusione stessa è durata diversi giorni a marzo prima che il team di sicurezza di LACMTA notasse attività non autorizzata e disconnettesse parti della sua rete. I servizi di autobus e metropolitana leggera hanno continuato a funzionare.
Il 💜 della tecnologia dell'UE Gli ultimi rumori dalla scena tecnologica dell'UE, una storia del nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora! Un gruppo che si fa chiamare Ababil di Minab ha rivendicato la responsabilità all'inizio di aprile, pubblicando screenshot di Telegram che affermavano di mostrare accesso a infrastrutture di virtualizzazione, server web e, più preoccupante, un display di gestione del deposito ferroviario e controllo treni noto internamente come Divisione 11.
Il gruppo ha sostenuto di aver cancellato 500 terabyte di dati ed esfiltrato ulteriori un terabyte. LACMTA ha confermato l'accesso parziale da parte degli attaccanti ma non ha convalidato le affermazioni volumetriche.
Ababil di Minab ha preso il suo nome dall'attentato a una scuola per ragazze nella città iraniana di Minab. I ricercatori statunitensi e israeliani hanno, dalla sua comparsa, descritto il gruppo come una sorta di gruppo di vigilantes autoproclamato che spesso funge da intermediario per attori statali iraniani, con una storia pubblica esile e una retorica che corrisponde a quella di Teheran.
L'attribuzione di Gambit riduce parte di quella distanza: un fronte hacktivista che si prende il merito da un lato, un server iraniano noto che detiene i file rubati dall'altro.
L'attacco di Los Angeles si inserisce in un modello più ampio. Gli attori pro-Iran hanno visibilmente intensificato le intrusioni nelle infrastrutture critiche statunitensi nell'ultimo anno, con violazioni documentate di impianti di trattamento delle acque municipali, sistemi di misurazione dei serbatoi delle stazioni di servizio e, ora, trasporti pubblici.
La Foundation for Defense of Democracies ha sostenuto in un documento del 20 maggio che i sistemi di controllo industriale esposti e l'autenticazione debole nelle infrastrutture dei governi locali statunitensi hanno reso gli attacchi più facili di quanto non sarebbero stati un decennio fa.
Ciò che le campagne iraniane di questo tipo hanno, secondo le evidenze finora, mancato è la capacità operativa di interrompere effettivamente il servizio fisico a livello di controllo treni o controllo della rete. La violazione LACMTA ha raggiunto un display del deposito ferroviario in tempo reale ma non ha, per quanto è stato divulgato, manipolato.
La maggior parte delle attività pro-Iran in questa categoria si è fermata al furto di dati e alla pubblicazione di screenshot destinati a imbarazzare il bersaglio, piuttosto che a un vero e proprio sabotaggio. La linea tra questi due risultati è parzialmente difesa da una buona segmentazione della tecnologia operativa e parzialmente da vincoli politici. Entrambi, hanno sostenuto i ricercatori di sicurezza per tutto il 2026, sono più morbidi di quanto dovrebbero essere.
LACMTA ha rifiutato di commentare i risultati di Gambit martedì. L'agenzia di trasporto ha dichiarato ad aprile che la sua revisione forense era in corso. L'FBI e la Cybersecurity and Infrastructure Security Agency non hanno attribuito pubblicamente l'attacco.
Altri articoli
La Cina estende le restrizioni sui viaggi legate all'IA da DeepSeek ad altre aziende private.
La Cina sta estendendo le restrizioni informali ai viaggi per i ricercatori senior di intelligenza artificiale di DeepSeek ad altre aziende private, riporta Bloomberg, citando preoccupazioni relative a segreti di stato.
Pony AI alza l'obiettivo di fine anno per la flotta a 3.500 robotaxi dopo un forte primo trimestre.
Pony AI ha aumentato il suo obiettivo per la flotta di robotaxi del 2026 a oltre 3.500 veicoli dopo che i ricavi dei robotaxi del primo trimestre sono aumentati del 395% su base annua e la flotta ha superato i 1.700.
Avrea raccoglie 4,7 milioni di dollari per sistemare il CI/CD prima che la codifica AI lo rompa.
La startup di Helsinki Avrea, fondata da Hannu Valtonen di Aiven e Juha Valvanne di Nosto, ha raccolto 4,7 milioni di dollari guidati da Earlybird per accelerare CI/CD per team di ingegneria ad alta intensità di intelligenza artificiale.
Gli hacker legati all'Iran hanno raggiunto il display di controllo del deposito ferroviario della Metro di Los Angeles a marzo, scopre un'azienda israeliana.
La società di Tel Aviv Gambit Security afferma che gli hacker iraniani hanno esfiltrato 700GB di dati della Metro di Los Angeles a marzo e rintracciano il server a un'operazione nota legata a Teheran.