TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

イラン支持脅威アクターがインターネット接続OT資産経由でUS CNIプロバイダーを攻撃

イラン系ハッカーが先月からUS重要国家インフラ(CNI)プロバイダーを攻撃しており、運用上の混乱と経済的損失をもたらしていることが米国政府により明らかにされた。

4月7日の米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)勧告は、脅威アクターがRockwell Automation/Allen-Bradleyが製造したプログラマブルロジックコントローラ(PLC)を含むインターネット接続の産業用制御(OT)資産を標的としていると述べている。

これまでのところ、標的とされたセクターは政府機関および施設(地方自治体を含む)、水・廃水システム(WWS)、およびエネルギーである。

「これらのPLCの広範な使用と、重要インフラ全体での他のブランドのOT機器の追加標的化の可能性があるため、執筆機関はUS組織に対し、本勧告におけるタクティクス、テクニック、および手順(TTP)およびセキュリティ侵害の指標(IOC)をレビューして、自社ネットワーク上での現在および過去のアクティビティの兆候がないかチェックし、セキュリティ侵害のリスクを低減するために緩和セクションにリストされている推奨事項を適用するよう強く推奨している」と勧告では述べられている。

イランのCNI攻撃についてさらに読む:研究者が産業システムを攻撃する国家が使用するマルウェアを発見。

CISAによれば、高度な持続的脅威(APT)グループは「プロジェクトファイルと悪意を持ってインタラクションし、HMIおよびSCADAディスプレイに表示されるデータを操作する」ことが観察されている。PLCは明らかに様々な産業プロセスを管理している。

彼らは「構成ソフトウェア」(Rockwell AutomationのStudio 5000 Logix Designerなど)を使用して、海外のIPアドレスおよび第三者がホストするインフラストラクチャ経由で、標的のPLCへの「確立された接続」を作成している。

インバウンド悪意あるトラフィックはポート44818、2222、102、22、または502で到着する可能性があり、ポート22攻撃ではDropbear Secure Shell(SSH)ソフトウェアが被害者エンドポイントに配備されてリモートアクセスが実現される。

CNI企業が取るべきアクション

勧告はUS CNIプロバイダーに以下の実施を促している:

  • セキュアゲートウェイおよびファイアウォールを使用してPLCをインターネット直接露出から保護する
  • 勧告で提供されているIOCについて利用可能なログをクエリする
  • OT機器に関連するポート上の疑わしいトラフィックについて利用可能なログをチェックし、特に海外からのトラフィックかどうかを確認する
  • Rockwell Automationデバイスのコントローラーの物理モードスイッチをランポジションに置く。および組織が既に標的にされている場合、FBI、CISA、NSAまたは他の執筆機関にガイダンスを求める連絡をする

このキャンペーンは、3月の米国医療技術企業Strykerに対するHandala攻撃に続くもので、数万デバイスを消去した。

また2023年の同様のキャンペンスに続くもので、当時はイランのイスラム革命防衛隊(IRGC)がイスラエル企業Unitronicsが製造したPLCを実行するUS水処理施設を襲撃した。

専門家の見解

Corsica Technologies のCISO Ross Filipekは、新しいキャンペーンが真空で起きたのではないと主張した。

「多くの著名なインフラストラクチャインシデントの歴史は世界に2つのことを示している。第1に、多くの産業用制御環境がインターネットに到達可能なインターフェースおよびリモートアクセスパスを持っており、それらは永続的なものであることを意図されていなかったことである」と彼は続けた。

「第2に、限定的な混乱であっても、緊急対応に緊張をもたらすことから経済的損失および評判上の損害まで、過度な混乱を起こす可能性があることである。成功した、あるいは部分的に成功したキャンペーンが増えるたびに、次のキャンペーンのハードルが低くなり、アクターに悪さレベルの損傷から実際の運用上の干渉への移行を促す。」

Exabeam AI戦略・セキュリティ研究副社長Steve Povolnyは、OTを操作するCNI企業は、イランに対するUS キャンペーン中の偵察、認証情報収集、およびシステムを悪用する投機的な試みの増加を想定すべきだと述べた。

「ITとOTテレメトリー間の可視性ギャップは、重要インフラオペレーター全体で見られる最も根強い弱点の1つである。チームは制御プロトコルのパッシブネットワーク監視を優先し、エンタープライズと制御ゾーン間の厳格なセグメンテーションを施行し、リモートアクセスパスを検証し、エンジニアリングワークステーションとベンダーメンテナンスチャネルが厳格に制御およびログされていることを確認すべきである」と彼は追加した。

「同じくらい重要なことに、インシデント対応計画は単にデータ機密性の損失ではなく、制御システム完全性の損失を明示的に説明する必要がある。しかし、これの多くが短期的な影響を持つにはすでに遅すぎる可能性があると懸念している。」

翻訳元: https://www.infosecurity-magazine.com/news/iranbacked-hackers-cni-ot-assets/

ソース: infosecurity-magazine.com
#APT #CISA #OT資産 #PLC #イラン #エネルギーセクター #サイバー脅威 #水処理 #産業制御システム #重要インフラ

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新