2026年4月7日、米国の最高のサイバーセキュリティ・防衛機関が共同警告を発表し、イラン関連のハッカーがRockwell Automation可視化プログラムロジックコントローラ(PLC)を積極的に狙っていることを明かしました。
Censysからの新しいスキャンデータによると、5,200台以上のこれらの重大な産業用デバイスが現在、公共のインターネットに露出しています。
米国がこのリスクの大部分を負っており、露出したデバイスの約75%をホストしています。驚くべきことに、世界全体の半分はVerizon Businessセルラーネットワークに依存しており、AT&T Mobilityも多く使用されています。
これは、露出したほとんどのPLCが、水ポンプやエネルギー変電所などのフィールドに展開され、基本的なセルラーモデムを介してインターネットに直接接続されていることを明かにしています。
連邦機関がセキュリティアドバイザリ(AA26-097A)を発表した際、悪意のあるIPアドレスのリストが含まれていました。しかし、攻撃者のネットワークのより深い分析により、重大な盲点が明らかになりました。
政府は当初7つのIPアドレスにフラグを立てました。高度なスキャンデータでは、これらは別々のマシンではないことを示しています。
代わりに、それらは攻撃者によって設定された単一のWindowsエンジニアリングコンピュータに属しています。このワークステーションは複数のインターネット接続を持ち、「DESKTOP-BOE5MUC」という名前に関連した特定のリモートデスクトップセキュリティ証明書を使用しています。
この一意の証明書を追跡することで、研究者は公式アドバイザリから欠落していた4つの追加の攻撃者IPアドレスを特定しました。
この単一のワークステーションはRockwellの独自のエンジニアリングツールで完全に装備されており、実質的に攻撃者の個人的な発射台として機能しています。さらに、アドバイザリにリストされている別のIPはルーマニアの「バーナー」ステージングサーバーとして特定されました。
それは新しくレンタルされ、3月中旬にスキャンに素早く使用され、その後すぐに放棄されました。
脅威は露出したデバイスのタイプによって増幅されます。多くは古いMicroLogix 1400モデルが古いソフトウェアを実行しており、ターゲット化されたCompactLogixおよびMicro850システムと一緒になっています。
さらに悪いことに、これらのPLCの数百は、VNCやTelnetなどの安全でないリモートアクセスサービスと一緒に露出しています。攻撃者がVNCポートを侵害した場合、産業用スクリーンを直接視覚的に制御できます。
このエスカレートするイランのAPTキャンペーンに対抗するために、組織は直ちに行動を取る必要があります。最も緊急なステップは、PLCを直接インターネット露出から削除することです。
リモートアクセスが必要な場合、セキュアゲートウェイとマルチファクター認証(MFA)によって保護する必要があります。
このシンプルな物理的アクションは、ハッカーがPLCのコアプログラミングをリモートで変更することを防ぎます。
最後に、セキュリティチームは、新しく発見された4つを含む攻撃者IPアドレスの全範囲をブロックし、産業用ポートをターゲットとした疑わしい接続を積極的に捜索する必要があります。
翻訳元: https://cyberpress.org/rockwell-plc-exposure-grows/