新しい連邦サイバーセキュリティアラートが重要インフラセクター全体で警報を鳴らしており、イラン系脅威アクターが米国のプログラマブルロジックコントローラー(PLC)を積極的にターゲットにしています。
複数の連邦機関によって確認されたキャンペーンは、すでに運用の中断と経済的損失を引き起こしており、産業環境に対するサイバー活動の顕著なエスカレーションを示しています。
「このキャンペーンの最も注目すべき点は、攻撃者のスキルです。彼らはOTチームが日常的に使用する同じエンジニアリングソフトウェアと信頼された接続を使用するため、悪意のある活動を検出することが難しいのです」とPicus Securityの共同創設者であり、Picus LabsのVP であるDr. Süleyman Özarslan氏がeSecurityPlanetへのメールで述べています。
彼は続けて、「さらに大きな懸念は、これがシステム設計の弱点を示しているという点です。セグメンテーション、アクセス制御、および強化が十分に強くない場合、攻撃者は通常のOTワークフローに溶け込み、システムに留まり、検出がより難しい方法で産業運用を混乱させることができます」と述べています。
PLC攻撃キャンペーンの内側
CISA、FBI、NSA、および他の連邦機関による共同アラートは、エネルギーおよび水セクターを含む重要インフラストラクチャへの急速にエスカレートする脅威を強調しています。
多くの場合、弱い認証情報またはデフォルト認証情報に依存していた以前のキャンペーンとは異なり、このアクティビティはより高度な戦術へのシフトを反映しています。
攻撃者は現在、正当なエンジニアリングツールを使用してPLCにアクセスしており、通常の運用に溶け込みながら産業制御プロセスと直接対話することが可能になり、検出がより困難になっています。
これはOT防御を強化し、特に可視性、アクセス制御、および監視において、IT とOT セキュリティ間の継続的なギャップを閉じる必要性を強調しています。OT
このキャンペーンの中心には、ロックウェルオートメーションのStudio 5000 Logix Designerなどの信頼できるツールを使用して、PLCへの正当な接続を確立することがあります。
エンジニアが使用するのと同じソフトウェアを活用することで、攻撃者は悪意のあるアクションをルーチンワークフロー内に組み込むことができ、検出と対応の両方を複雑にします。
産業システム全体にわたるターゲティングの拡大
ターゲティングの範囲は、単一のベンダーを超えて、EtherNet/IP(44818)、Modbus(502)、Siemens関連通信(102)などの複数の産業プロトコルとポートを含むように拡大しています。
このより広いアプローチは、脆弱な産業システムを特定して悪用するより体系的な取り組みを示しています。
Dropbear SSHの使用は、さらに持続的なリモートアクセスを可能にし、短期的な混乱を実行するのではなく、長期的な足がかりを維持する意図を示唆しています。
システム的露出が実世界への影響をもたらす
リスクは単一の脆弱性ではなく、システム的露出によってもたらされます。
多くのPLCは、適切なセグメンテーションまたは認証制御がなくインターネットから直接アクセス可能なままであり、攻撃者は最小限の抵抗で正当なツールを使用してアクセスすることができます。
内部に入ると、攻撃者は詳細なロジックと設定データを含む.ACDファイルなどのPLCプロジェクトファイルを抽出でき、事実上産業プロセスの青写真を提供します。
その後、彼らはHMIとSCADAディスプレイを操作し、オペレーターデータを改ざんし、進行中の悪意のある活動を潜在的に隠蔽することができます。
この偵察と運用操作の組み合わせは懸念事項です。脅威アクターが即座の混乱だけでなく、より対象を絞った潜在的に破壊的なアクション向けて準備しているように見えるからです。
OTセキュリティリスクを低減する方法
産業制御システムをターゲットとした攻撃がより高度になるにつれて、組織は基本的なセキュリティ対策を超え、より層状の積極的なアプローチを採用すべきです。
効果的な軽減策は、露出の削減、アクセス制御の強化、およびOT環境全体の可視性向上に焦点を当てています。
- PLCをインターネット直接露出から削除し、MFAを備えたセグメント化されたゲートウェイを通じて安全なリモートアクセスを強制する。
- OTマイクロセグメンテーションと産業DMZアーキテクチャを含む強力なネットワークセグメンテーションを実装して、横展開を制限する。
- エンジニアリングワークステーションを強化し、すべてのPLCおよびOTシステムの相互作用に対してロールベースのジャストインタイムアクセス制御を強制する。
- 不要なサービスとポートを無効にしながら、産業トラフィックのプロトコル対応監視とディープパケット検査を有効にする。
- 継続的に監視して、不正な設定変更、異常なエンジニアリングアクティビティ、および新しい通信パスなど、異常な行動を検出する。
- PLCロジックの安全なオフラインバックアップを維持し、すべてのOTアセット全体のファームウェアおよびソフトウェア整合性を確認する。
- セキュリティ制御を定期的にテストおよび検証し、OT固有のインシデント対応計画を実行して、効果的な検出と回復を保証する。
これらの対策に焦点を当てることで、組織はこれらのOT脅威への露出を削減しながら、回復力を強化することができます。
増加する圧力にさらされるOT環境
このキャンペーンは、国家支援のサイバーアクティビティの一部として運用技術のターゲティングが増加するというより広いトレンドを反映しています。
組織にとって、これは産業システムがより一般的なターゲットになりつつあり、適切な保護と監視を伴うエンタープライズセキュリティ戦略のコア部分として扱われるべきことを強化しています。
組織がこれらの環境をセキュアにする方法を再考する中、一部はゼロトラストソリューションに目を向けており、ITおよびOTシステム全体のアクセス制御とリスク削減を支援しています。
翻訳元: https://www.esecurityplanet.com/threats/iranian-threat-actors-target-u-s-critical-infrastructure/
