疎結合な親ロシア派ハッキスト集団が、複数のセクターにわたる運用技術システムへの侵入を目的として、露出した仮想ネットワークコンピューティング接続を悪用しているのが確認されています。
CISA、連邦捜査局(FBI)、国家安全保障局(NSA)、および他の国内および国際的なパートナーによる新しいレポートによると、これらの攻撃は米国の水処理、食糧生産、エネルギーセクターの事業体に影響を及ぼす、技術レベルは低いが破壊的な侵入の増加の一部です。
執筆者らによると、Cyber Army of Russia Reborn(CARR)、Z-Pentest、NoName057(16)、Sector16などのグループは、単純な偵察ツールと一般的なパスワード推測技術を使用して、インターネット向けのヒューマン・マシン・インターフェースに到達しています。
彼らの活動は、国家が指示する脅威グループのそれほど高度ではありませんが、場合によっては物理的な影響につながっています。
CISA は、これらのハッキスト達は通常、戦略的な利益よりも可視性を求めており、オンラインで公開する事件の規模をしばしば誇張していると述べています。
それでも、攻撃者がパラメータを変更したり、アラームを無効にしたり、デバイスを再起動したりした後、オペレータは一時的な表示喪失と高額な手動復旧作業に直面しています。
勧告は、複数の親ロシア派集団が2022年以来拡大し、ロシア国家と結びついた組織から直接的または間接的な支援を受けているものもあることを概説しています。
CARR とNoName057(16)は、2024年にZ-Pentestを形成する前に広範に協力し、Sector16は2025年初頭に同様の同盟を通じて出現しました。各グループはポートをスキャンし、弱いパスワードを総当たり攻撃し、侵害されたシステムのスクリーンショットをオンラインで配布するために、広く利用可能なツールに依存しています。
重要インフラサイバー脅威の詳細をお読みください:調達時に製品セキュリティを精査するよう促進される重要インフラ
オペレータへの推奨措置
-
OT資産へのパブリックインターネットアクセスの削減
-
データフロー マッピングなど、より強力な資産管理の採用
-
可能な限り多要素認証(MFA)を含む堅牢な認証の使用
勧告はまた、ネットワークセグメンテーション、厳格なファイアウォールポリシー、更新されたソフトウェア、およびシステムが侵害された場合の迅速な手動操作を可能にする緊急計画の重要性も強調しました。
これは、弱い認証情報で露出しているシステムを発見した組織は、侵害を想定して即座にインシデント対応を開始すべきであると警告しています。
これらの攻撃は依然として比較的単純なままですが、執筆機関は、継続的な活動はより深刻な結果をもたらす可能性があると警告しています。
「この勧告で強調されている親ロシア派ハッキスト集団は、脆弱なシステムに実質的な害をもたらす意図と能力を示している」と、サイバーセキュリティの CISA エグゼクティブアシスタントディレクターである Nick Andersen は警告しました。
「推奨される軽減措置の実装とセキュリティ制御の厳格な検証に加えて、私たちはすべての OT デバイス製造業者に対して、安全で設計する原則を優先するよう呼びかけています。最初からセキュリティを組み込むことは、リスク削減と国家の最も重要なシステムの保護に不可欠だからです。」
翻訳元: https://www.infosecurity-magazine.com/news/russia-hackers-target-us-critical/
