出典:Hakan Gider via Alamy Stock Photo
イランに関連する脅威アクターは、米国政府が警告しているように、多数のセクターにわたるインターネットに公開されている運用技術(OT)デバイスへの攻撃を通じて、米国の重要インフラを破壊しています。
この発表は火曜日に行われ、ちょうど米国とイランが進行中の戦争で一時的な2週間の停戦協定に達する直前でした。先月始まったイランの高度な永続的脅威(APT)アクターによるキャンペーンは、米国とイスラエルが共同でイランを攻撃した直後に始まり、プログラマブルロジックコントローラ(PLC)、特にロックウェルオートメーション/アレン・ブラッドリーデバイスをターゲットにしており、これらはエネルギー、水および下水道、および政府施設で使用されています。サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)および他の機関からの共同勧告によると。
攻撃者はすでにこれらの業界全体のさまざまなシステムに対して破壊を引き起こしており、特にPLCプロジェクトファイルの操作とHMIおよびSCADAディスプレイの改ざんが行われています。CISAによると、「いくつかのケースでは、この活動は運用の中断と経済的損失をもたらしています」と勧告は述べています。
機関は最近の活動の背後にいるアクターを具体的に特定しませんでしたが、それはイランのイスラム革命防衛隊(IRGC)サイバー電子司令部(CEC)に関連する脅威アクターであるCyberAv3ngers(別名シャヒド・カベ・グループ)によるPLCへの同様の攻撃を思い出させるものであると述べました。2023年11月、脅威グループはHMIを備えた少なくとも75台の米国ベースのユニトロニクスPLCデバイスを侵害し、下水道システムを含む複数の重要インフラセクター全体で使用されていました。
インターネットに面したデバイスがアクセスされた
FBI、国家安全保障局(NSA)、環境保護庁(EPA)、エネルギー省(DOE)、および米国サイバーコマンド–サイバー国家任務部隊(CNMF)がCISAと一緒に勧告に参加しました。この勧告は、複数の海外ベースのIPアドレスを使用してイランに関連するAPTアクターがインターネットに面したロックウェルオートメーション/アレン・ブラッドリー製PLC。
「アクターはリースされたサードパーティーホストインフラストラクチャを、ロックウェルオートメーションのStudio 5000 Logix Designerソフトウェアなどの構成ソフトウェアと一緒に使用して、被害者のPLCへの受け入れられた接続を作成しました」と機関は述べています。ターゲットにされたデバイスには、CompactLogixおよびMicro850 PLCデバイスが含まれていました。
攻撃者はポート44818、2222、102、22、および502、ならびにポートT0885経由でデバイスに悪意のあるトラフィックを向けました。このポートはシーメンスS7 PLCおよびロックウェルオートメーション/アレン・ブラッドリー以外の企業によって製造された他のデバイスも対象にされた可能性があることを示しています。
「さらに、アクターは被害者のエンドポイントにDropbear Secure Shell(SSH)ソフトウェアをデプロイしてから、ポート22 [T1219]を通じてリモートアクセスを取得しました」と勧告によると。
今すぐ緩和措置を適用する
米国の重要インフラをターゲットにしてきたイランの攻撃者の歴史と米国とイラン間の継続的な敵対関係を考慮すると、米国はすでに戦争努力の一環として地上でいくつかのイランインフラを破壊しています。停戦前に、ドナルド・トランプ大統領は発電所などのイランの重要インフラを大規模でターゲットにすると脅迫しており、これはイランの報復的なサイバー攻撃をさらに米国ターゲットに促す可能性があります。
しかし問題は現在の紛争を超えて広がっており、PLCおよび他のOTデバイスの公開インターネットへの露出は、重要インフラセクターにとって何年も前からの継続的な懸念事項であると、Exabeamのセキュリティ運用戦略家であるガブリエル・ヘンペルは指摘しています。
「OT環境がインターネットから到達可能である場合、それは国家レベルの問題ではなく、本質的な設計欠陥です」と彼女はDark Readingに語ります。
とはいえ、CISAは重要インフラ組織にPLCを直接インターネット露出から削除し、安全なゲートウェイとファイアウォールを実装することを促しました。さらに、セキュリティチームは、44818、2222、102、502を含むOTデバイスに関連するポートの疑わしいトラフィックについて利用可能なログをチェックし、特に海外ホスティングプロバイダーから発信されたトラフィックについてチェックする必要があります。
CISAはまた、勧告に一連の侵害指標(IoCs)を含め、影響を受ける可能性のある組織が対応する時間枠でこれらのIOCについて利用可能なログを検索することを推奨しました。ロックウェルオートメーション/アレン・ブラッドリーデバイスを使用している組織は、コントローラの物理モードスイッチを「実行」位置に配置する必要があります。自分のデバイスがターゲットにされた可能性があると疑う組織は、作成機関とロックウェルオートメーションに連絡して指導を受ける必要があります。
