運用上の支障と財務損失が既に報告されており、6つの連邦機関はキャンペーンが継続中だと述べています。
米国とイランが火曜日に停戦に合意した中、6つの米国連邦機関は、イランに関連した脅威アクターが米国の重要インフラ施設でインターネットに公開されているプログラマブルロジックコントローラー(PLC)を侵害したと警告しました。
イランと米国とイスラエル間の敵対関係の激化と関連付けられた攻撃は、ロックウェルオートメーションとアレン・ブラッドリーのPLCを、水道および下水道処理施設、エネルギー施設、地方自治体を含む政府施設を標的としており、少なくとも2026年3月以降に活動しているとのことです。FBIとCISA、NSA、EPA、エネルギー省、および米国サイバーコマンドのサイバー国家任務部隊の共同で執筆された勧告書に記載されています。火曜日に公開されました。
「少なくとも2026年3月以降、執筆機関は(被害組織との関わりを通じて)PLCの機能を中断させたイラン関連のAPTグループを特定しました」と勧告書は述べています。「これらのPLCは複数の米国の重要インフラセクター(政府サービス・施設、下水道・水道、エネルギーセクターを含む)に、様々な産業オートメーションプロセス内に展開されていました。被害者の一部は運用上の支障と財務損失を経験しました。」
攻撃者がアクセスを得た方法
これらの操作を実行するために、アクターは海外でリースされたインフラストラクチャと正規のロックウェルオートメーション構成ソフトウェアを使用して被害者のPLCに接続し、具体的には公開インターネットに直接公開されていたCompactLogixおよびMicro850デバイスを使用しました。勧告書によると述べています。
内部に侵入した後、彼らはプロジェクトファイルを抽出し、SCADAとHMIディスプレイデータを改ざんし、永続的な足掛かりを維持するためのリモートアクセスソフトウェアをインストールしました。
勧告書はまた、シーメンスS7 PLCプロトコルに関連するポート活動が「これらのアクターがロックウェルオートメーション/アレン・ブラッドリー以外の企業によって製造されたデバイスも標的にしている可能性があることを示唆している」と警告しました。
ExabeamのAI戦略およびセキュリティリサーチ担当VP、スティーブ・ポボルニー氏は、このキャンペーンはOT環境の構造的な弱点の長年の傾向を反映していると述べました。「プログラマブルロジックコントローラーおよび支援HMIスタックは、多くの場合、古いハードウェアに展開され、数年間は古いファームウェアを実行し、敵対的な永続化を念頭に置いて設計されたことのない運用ネットワーク内に存在しています」と彼は述べました。
Exabeamのセキュリティオペレーション戦略家、ガブリエル・ヘンペル氏は、攻撃が基本的な設計上の問題を露呈させたと述べました。「このレポートについて最も懸念されることは、イランのアクターが高度なマルウェアや新しいゼロデイを使用していないのに対し、アクセス可能なPLCと低い挙動を利用してシステムを操作し、混乱を引き起こしている」と彼女は述べました。「OT環境がインターネットから到達可能な場合、それは継承設計上の欠陥であり、国家主権者の問題ではありません。」
繰り返されるイランのプレイブック
勧告書は、現在のキャンペーンを米国の産業制御システムを標的とするイラン国家関連の一連のターゲティングのパターンに関連付けています。執筆機関は以前に同様の活動を報告しているCyberAv3ngersは、イランのイスラム革命防衛隊サイバー電子コマンドに関連しており、2023年11月から始まる水道、下水道、およびその他の重要インフラセクターで少なくとも75のユニトロニクスPLCデバイスを侵害しました。
現在のアクティビティは、関連しているが異なるイラン関連のAPTアクターグループに起因しています。勧告書は述べています。
執筆機関は、このグループが「米国内での機能的な効果を引き起こすためにこの活動を実行している」と評価しました。勧告書は、エスカレーションが進行中の米国-イラン-イスラエル間の敵対関係に関連している可能性があると述べています。
コルシカテクノロジーズのCISO、ロス・フィリペック氏は、部分的な侵害の結果さえも個々の被害組織を遥かに超えて広がると述べました。「地方自治体のユーティリティがダウンした場合、サプライヤー、病院、地域パートナーがそれを感じます」と彼は述べました。「成功した、あるいは部分的に成功したキャンペーンのそれぞれが次のキャンペーンのバーを低くし、アクターが嫌がらせレベルの改ざんから本当の運用干渉に移動するよう勇気づけます。」
侵害の指標と推奨アクション
勧告書は脅威アクターに関連する8つのIPアドレスをリストアップし、2025年1月以降の活動、ダウンロード可能な侵害指標をリストアップし、組織に対して特にOT関連ポートからのトラフィックが海外ホスティングプロバイダーからの発信を含めて、一致するアクティビティについてログを照会することを推奨しました。
「すべてのアクセスが仲介され、監視され、制御されることを保証してください」と勧告書は述べています。物理モードスイッチを備えたロックウェルオートメーションコントローラーの場合、リモート修正をブロックするためにスイッチを実行位置に置くことをお勧めします。
勧告書はまた、デバイスメーカーの責任を述べています。「最終的には、デバイスメーカーが設計上およびデフォルトでセキュアな製品を構築することは責任があります。」ヘンペル氏は、この原則が強制的なベースラインになる必要があると述べました。「『設計上セキュア』は全体を通じて強制的なベースライン期待として実施される必要があります」と彼女は述べました。
ポボルニー氏は、組織が勧告書を日常的な通知ではなく、アクティブな警告として扱うべきだと述べました。「敵対者は意図、能力、およびアクセスパターンを示唆しており、ディフェンダーは調査活動が既に進行中であるという仮定で応答する必要があります」と彼は述べました。
