イランに関連するハッカーが、米国の重要インフラ組織のネットワーク上のインターネット公開されたRockwell/Allen-Bradley プログラマブルロジックコントローラー(PLC)を標的にしています。
この警告は本日、FBI、CISA、NSA、環境保護庁(EPA)、エネルギー省(DOE)、および米国サイバー司令部 – サイバー国家ミッション部隊(CNMF)によって作成された共同勧告の形で発表されました。
作成機関は、これらの継続的な攻撃が米国の複数の重要インフラセクター(政府サービスと施設、水および廃水システム、エネルギーを含む)の組織を標的にし、2026年3月以降、経済的損失と運用上の支障をもたらしたと述べた。
「FBIは、イラン系のAPT行為者グループが、プロジェクトファイルとの悪意のある相互作用やHMIおよびSCADAディスプレイに表示されるデータの操作を含む、米国の重要インフラ組織への破壊をもたらす意図でインターネット公開PLC を標的にしていると評価している」と勧告は警告している。
「米国組織に対するイラン系のAPT標的キャンペーンが最近エスカレートしており、おそらくイランと米国およびイスラエル間の敵対行為への対応である。」
「FBIはこの活動がデバイスのプロジェクトファイルの抽出とHMIおよびSCADAディスプレイ上のデータ操作をもたらしたことを特定した」と米国機関は付け加えた。
2023年11月に発表された同様の勧告は、イラン政府イスラム革命防衛隊(IRGC)に関連するCyberAv3ngers脅威グループが、米国ベースのUnitronics運用技術(OT)システムの脆弱性を悪用していたと警告した。
2023年11月から2024年1月の間に、CyberAv3ngersハッカーは複数の波のサイバー攻撃を通じて少なくとも75のUnitronics PLCデバイスを侵害し、そのうち半分はWWS重要インフラネットワークにありました。
このような攻撃から防御するため、ネットワーク防御者はPLCをインターネットから切断するか、ファイアウォールを使用してそれらを保護し、本日の共同勧告で共有されている侵害指標についてログをスキャンし、OTポート上の疑わしいトラフィック(特に海外ホスティングプロバイダーからのトラフィック)をチェックすることが勧められています。
彼らはまた、OTネットワークへのアクセスのための多要素認証(MFA)を実装し、PLCを最新の利用可能なファームウェアに保つ、未使用のすべてのサービスと認証方法(デフォルト認証キーなど)を無効にし、疑わしい活動についてネットワークトラフィックを監視する必要があります。
先月、イラン系でありプロ・パレスチナのHandalaハクティビスト集団は、米国の医療大手Strykerのネットワーク上で、従業員のモバイルデバイスと企業が管理するパーソナルコンピューターを含む、約80,000台のデバイスを削除しました。
FBIはまた、同国の情報安全保障省(MOIS)に関連するイランのハッカーがマルウェア攻撃でTelegramを使用していると警告した。
