イランと関連するグループが、米国の重要な水道・エネルギー施設を狙った侵入を強化しており、場合によっては運用を妨害していると、FBIおよび米国のサイバー防衛機関は火曜日に発表した。
米国政府のアラートは、米国とイスラエルが主導する戦争が6週目に入る中で発表されたもので、ドナルド・トランプ大統領はイランとの取引に達しない限りイランの文明を抹殺すると脅迫していたが、パキスタンが彼を説得して2週間の停戦に同意させた。
当局によると、重要インフラを狙ったイランのサイバー侵入は3月以来継続しており、運用技術(OT)デバイス、特にRockwell Automation/Allen-Bradley製のプログラマブルロジックコントローラ(PLC)を混乱させることを目的としている。
PLCは水処理プラント、食品生産施設、石油精製所、電力網、その他の重要施設の産業機器を制御・監視するために使用されており、イランのサイバークルーの長年の好みのターゲットである。
2023年、FBIと関係機関は、Unitronics Vision Series PLCを狙った一連の攻撃をイスラム革命防衛隊(IRGC)と関連するグループCyberAv3ngersに帰属させた。しかし、これらは高度なサイバー攻撃ではなかった。CyberAv3ngersは、インターネットアクセス可能なPLCのデフォルトパスワードを使用して、米国ベースの水施設に侵入した。
1年後、同じクルーがPLC、ヒューマンマシンインターフェース(HMI)、およびその他のOTデバイスをカスタムマルウェアに感染させ、その接続を利用して米国およびイスラエルベースの水・燃料管理システムを遠隔制御した。
イランの脅威アクターは現在、より迅速かつ広範に行動しており、ITとOTの両方のインフラストラクチャを標的にしている
FBI、CISA、国家安全保障局、環境保護庁、エネルギー省、および米国サイバー司令部からの共同アラートによると、最新のOTデバイス攻撃はPLC、HMI、および監視制御データ取得(SCADA)ディスプレイも標的にしている。
「FBIは、イラン系関連のAPTグループが、米国の重要インフラ組織に対する混乱を引き起こすことを意図して、インターネットに公開されたPLCを標的にしていると評価している。これには、プロジェクトファイルとの悪意ある相互作用、およびHMIとSCADAディスプレイに表示されるデータの操作が含まれる」と共同アラートは述べた。
「これらのPLCは、多くの産業オートメーションプロセスにおいて複数の米国重要インフラセクター全体に配置されている…被害者の中には運用の混乱と経済的損失を経験したものもある」と続けた。
FBIは混乱についての追加詳細の提供を拒否した。
安全上の理由から匿名を希望する脅威アナリストは、イラン系の攻撃者が「ここと中東でユーティリティを混乱させる機会を探している」ことをThe Registerに確認した。
Check Point ResearchのSergey Shykevich脅威インテリジェンスグループマネージャーはThe Registerに、FBIの勧告は「数ヶ月間観察してきたことを確認している。イランのサイバーエスカレーションは既知の戦術に従っている」と述べた。
Check Pointのサイバー攻撃追跡によると、エネルギーおよびユーティリティセクターは先月、米国で5番目に最も標的とされた業界であったことも注目に値する。
テルアビブに本社を置くセキュリティ企業は、先月イスラエルのPLCに対して「同一の」標的化を記録したとShykevichは述べた。
「イランの脅威アクターは現在、より迅速かつ広範に行動しており、ITとOTの両方のインフラストラクチャを標的にしている」と彼は付け加えた。「これはイランのアクターが米国の運用技術を混乱目的で標的にするのは初めてではないので、組織はこれを新しい脅威ではなく、加速する脅威として扱うべきである。」
企業にとって、これはシステムにパッチが当たっていること、多要素認証がオンになっていること、および重要なOTシステムがインターネットに公開されていないことを確認することを意味するとShykevichは述べた。
米国政府機関はまた、Rockwell Automation/Allen-Bradley製のPLCを使用している人は、すべてのインターネット接続デバイスの切断を含むベンダーのガイダンスを確認することを勧めている。
さらに、利用可能なログをOTデバイスに関連するポート(44818、2222、102、502など)の疑わしいトラフィックについて確認し、特に海外ホスティングプロバイダーからのトラフィックを確認してください。®
