イランの国家支援を受けた米国重要インフラへの標的化から生じる影響と潜在的なリスクは、5,200台以上のインターネット接続デバイスに及んでいると、Censysの研究者が水曜日の脅威インテリジェンスブリーフで述べました。
Censysが特定したロックウェルオートメーション/アレン・ブラッドリーが製造したプログラマブルロジックコントローラのうち、イラン政府の攻撃者にさらされる可能性があるものは、約3,900台、すなわち4台中約3台が米国に拠点を置いています。
サイバーセキュリティ企業は、複数の連邦機関が火曜日に共有した共同警告に基づいてこれらのデバイスを特定し、オペレータのIPアドレスおよび他の脅威ハンティングクエリを含む追加の侵害指標を公開しました。
連邦当局は今週初め、イラン政府の攻撃者が産業用オートメーションプロセスを制御するデバイスを悪用し、過去1ヶ月間に複数のセクターを混乱させたと警告しました。当局者によると、攻撃の結果、一部の被害者が経済的損失を被ったということです。
これらの運用技術デバイスは、エネルギーセクター、水および下水処理システム、ならびに米国政府のサービスおよび施設全体に配備されています。
Censysのスキャンにより、FBI、国家安全保障局、サイバーセキュリティおよびインフラストラクチャセキュリティ庁、環境保護庁、エネルギー省、米国サイバーコマンドによる共同警告が発令された直後に、インターネットに露出した5,219台のロックウェルオートメーション/アレン・ブラッドリーPLCホストが検出されました。
Censysの研究者は、露出しているデバイスの大部分がセルラーシステムを介して接続されており、リモートフィールド展開に重大なリスクをもたらしていることを確認しました。世界中のデバイスのほぼ半分はベライゾンのワイヤレスネットワークに接続されており、13%はAT&Tのインフラストラクチャに接続されています。
「これらのデバイスはほぼ確実に物理的インフラストラクチャ(ポンプステーション、変電所、自治体施設)にフィールド配備されており、セルラーモデムがそれらの唯一のインターネットパスとなっています」と、Censysの研究者はレポートで述べました。
潜在的な攻撃面は、これらのデバイスの他のポートで露出している追加サービスによってもさらに拡大しており、Censysはこれがpli悪用を超えて操作への直接パスを得ることを攻撃者に許可する可能性があると警告しました。
研究者は最新の脅威キャンペーンに露出しているMicroLogixおよびCompactLogixモデルをフィンガープリント化し、最も露出している15の製品のリストを公開しました。最も目立つデバイスの多くはサポート終了ソフトウェアを実行しており、Censysによると、これは攻撃者がスキャン時にパッチが適用されていないデバイスを優先することを可能にする複合的なリスクです。
攻撃は少なくとも3月にさかのぼり、米国とイスラエルのイラン対戦争に続いており、他のイラン政府支援の攻撃者がStrykerや地方政府を含む他の被害者を侵害していた同時期に行われていました。
翻訳元: https://cyberscoop.com/iran-attackers-industrial-ot-government-energy-water-censys/
