米国の重要インフラネットワークへのサイバー攻撃を仕掛けるイラン系ハッカーが標的とした攻撃対象には、ロックウェル・オートメーション製の数千台のインターネット公開プログラマブルロジックコントローラー(PLC)が含まれます。
複数の米国連邦機関が火曜日に発表した共同勧告によると、イラン国家支援のハッキングループは2026年3月からロックウェル・オートメーション/アレン・ブラッドリーPLCデバイスを標的にしており、運用上の支障と経済的損失を引き起こしています。
「イラン関連のAPT標的型キャンペーンが米国組織に対して最近エスカレートしており、おそらくイランと米国およびイスラエル間の敵対関係への対応である可能性がある」と、作成機関は警告しました。
「FBIは、この活動がデバイスのプロジェクトファイルの抽出とHMIおよびSCADAディスプレイ上のデータ操作をもたらしたことを特定しました。」
サイバーセキュリティ企業Censysが1日後に報告したところによると、グローバルにオンラインで発見された5,200以上のそのような産業制御システムの4分の3は米国からです。
「Censysデータは、EtherNet/IP(EIP)に応答し、ロックウェル・オートメーション/アレン・ブラッドリーデバイスとして自己識別するグローバルに5,219台のインターネット公開ホストを特定しています」と、Censysは述べています。
「米国はグローバル露出の74.6%(3,891ホスト)を占めており、セルラー通信キャリアASN上に不均衡なシェアがあり、セルラーモデム上に展開されたフィールドデバイスを示しています。」
これらの継続的な攻撃に対抗するために、ネットワーク防衛者はファイアウォールを使用してPLCを保護するか、インターネットから切断し、悪意のある活動の兆候についてログをスキャンし、OTポート上の疑わしいトラフィックをチェックすることが勧められています(特に海外のホスティングプロバイダーから発信する場合)。
管理者はまた、OTネットワークへのアクセスに多要素認証(MFA)を実施し、すべてのPLCデバイスを最新の状態に保ち、未使用のサービスと認証方法を無効にする必要があります。
この継続的なキャンペーンは、ほぼ3年前の同様の攻撃に続くもので、イラン政府のイスラム革命防衛隊(IRGC)に関連し、CyberAv3ngersとして追跡されている脅威グループが米国ベースのユニトロニクス運用技術(OT)システムの脆弱性を標的にしていました。
CyberAv3ngersハッカーは、2023年11月から2024年1月の間の複数の波状サイバー攻撃で少なくとも75台のユニトロニクスPLCデバイスに侵害し、そのうち半分は米国全域の水道・下水道システム重要インフラネットワークでした。
より最近には、ハンダラハッキビスト集団(イランの情報保安省にリンク)は、米国医療大手ストライカーのネットワークから従業員のモバイルデバイスと企業管理パーソナルコンピュータを含む約80,000台のデバイスを消去しました。
