イランと関連したハッカーが重要インフラを標的にしており、世界中で5,000台以上の産業用制御デバイス(米国内では約3,900台を含む)を脅かしていることが新たなデータで明らかになった。
米国政府機関は最近、イラン政権のために活動するハッカーがロックウェルオートメーション製のアレン・ブラッドリープログラマブルロジックコントローラ(PLC)に侵入することで、インフラ事業者を侵害しようとしていることを警告しており、米国はあらゆる国の中で最も多くのこのようなデバイスを所有している。インターネット監視企業Censysの新しいレポートによると。
「地理的分布は米国に大きく偏っており、世界的な曝露の74.6%を占めている。これはロックウェルの北米産業オートメーション市場における優位性と一致している」とCensysの研究者は記述した。
PLCは工場設備、エネルギー配分技術、およびその他のインフラ機械を制御する産業用コンピュータである。イランに関連したグループは以前、これらのPLCの弱点を利用して2023年のインフラ事業者に侵入し、米国とイスラエルの戦争への対応として最近その活動を再開した。
Censysが発見したインターネット接続PLCの大多数は、セルラーモデムを通じてネットワーク化されており、地理的に分散した脆弱なインフラネットワークの一部として遠隔地での展開を示唆している。
「これらのデバイスはほぼ確実に物理的インフラ(ポンプ場、変電所、市営施設)に現地配備され、セルラーモデムが唯一のインターネット接続経路である」とCensysは述べた。
一部のデバイスはStarlink衛星ターミナルを通じて接続されており、Censysはこれらをさらに「監視とパッチ適用が困難」にしていると述べた。
様々な方法で露出するPLC
Censysは当初、一般的な産業機器ネットワーク プロトコルに応答するPLCをスキャンしたが、同社は検出したデバイスの多くが、HTTP、VNC、FTPなどの他の一般的なサービスを通じてもアクセス可能であると述べた。
「これらのサービスは利用可能な攻撃面を拡大し」とCensysは警告し、「複数のケースではPLC悪用に関係なく運用への直接的な影響経路を表現している」と述べた。
PLC と制御コンピュータ間の VNC アクセスは特に深刻であると Censys は述べ、イラン関連のハッキング活動に関する米国政府の勧告はまさにこの経路について産業制御システムの操作のために言及していると述べた。
約 300 台のデバイスは暗号化されていない Telnet プロトコルを通じてアクセス可能であり、Censys は「インターネット対応の運用技術インフラには場所がない」と述べた。
インフラ事業者への助言
Censys は Allen-Bradley PLC を使用している企業または公共事業者に以下を促した。セキュアゲートウェイを通じてトラフィックをルーティングすることでそれらの PLC をパブリック インターネットから直ちに切断し、イラン関連ハッカーに関連するポートと IP アドレスからの受信トラフィックをログに記録し、OT デバイスへのリモート アクセスに多要素認証を実装する。
さらに、同社は、事業者は VNC、Telnet、FTP サービスを無効にするか、またはファイアウォールを適用し、アップデート サポートが限定的な PLC を交換すべきであると述べた。
翻訳元: https://www.cybersecuritydive.com/news/critical-infrastucture-plcs-iran-hacking-censys/817209/
