TokyoBlackHatNews

meterpreter.org 4分で読了

グリッドを狙う:イランのハッカーが露出した米国の産業用コントローラーを悪用する方法

政府が支援するイランのハッキング集団は、最近数ヶ月の間に、米国の重要インフラの枠内での単一で戦略的に重要な目的に転換しました。数千台がインターネットに危険なほど露出したままであるRockwell AutomationおよびAllen-Bradleyコントローラーの悪用です。状況の重大性は、敵対者の単なる好奇心を超えています。最近の実証的データは、これらの産業資産の不釣り合いな集中が米国内に位置することを明確にしており、セルラーモデムを介して統合されたシステムがリモートの現場サイトで直接動作することが多いです。

米国連邦機関の連合は、この新興の攻撃に関して厳しい警告を出しました。彼らのインテリジェンスは、2026年3月以降、イランの高度な持続的脅威(APT)グループがアメリカの組織に属するプログラマブルロジックコントローラー(PLC)を体系的に標的にしていることを示唆しています。その影響はすでに単純な偵察を超えています。当局は、有形の運用上の中断と重大な財務流出を報告しています。

その後の調査により、攻撃者の野心がアクセスの確認に限定されていなかったことが明らかになりました。キャンペーン中、彼らはコントローラープロジェクトファイル(システムの運用ロジックの非常にリポジトリ)を正常に抽出し、その後HMIおよびSCADAインターフェイスに表示されるテレメトリを操作しました。産業環境内では、そのような侵害は単なる付随的な厄介事ではありません。それは、オペレーターの状況認識の直接的な転覆です。プロセスの視覚的表現が歪められた場合、人員は捏造されたデータに基づいて重大な決定を下す運命にあり、カタストロフィック的な「カードの家」の崩壊を引き起こす可能性があります。

連邦警告の余波として、サイバーセキュリティ企業Censysは独自の評価を発表し、EtherNet/IPを介して応答し、Rockwell AutomationまたはAllen-Bradleyハードウェアとして自己識別する、グローバルにアクセス可能な5,219のホストを特定しました。地理的分布は非常に偏っています:このグローバルエクスポージャーの74.6%(合計3,891の個別ホスト)が米国内に集中しています。

研究者たちは、追加の示唆的な詳細を観察しました:これらのアメリカの装置の不当な量がモバイルネットワークプロバイダーの自律システム内に存在しています。このプロファイルは、典型的には堅牢な産業の非武装地帯内に保護されたものではなく、セルラーモデムを介して接続されたフィールドインストールを示しています。敵対者にとって、これは最小限の抵抗のパスを表しています。産業用ハードウェアが既に周辺に露出している場合、企業インフラの深い層を破る必要はありません。

実際には、これらのPLCは物理的な現実世界のプロセスを管理しています。彼らは製造ライン、自治体ユーティリティ、およびエネルギーグリッドの静かな建築家です。その結果、不正なアクセスは、データ盗難のリスクをはるかに超える危険に満ちています。

米国当局はこのエスカレーションをイラン、米国、およびイスラエル間の激化する地政学的摩擦と関連付けています。勧告は明確に述べています、イランのAPTグループに対するアメリカの実体に対する活力が急増しており、おそらくより広い政治的敵対関係のためのデジタル劇場として機能しています。重要インフラの運営者にとって、これは機会主義的なスキャンのロジックからの出発を通知します。攻撃者は外科的な意図で活動しており、彼らの特定のターゲットの洗練された理解を持っています。

軽減に関して、主要な指令は絶対的です:PLCを堅牢なファイアウォールの背後に隔離するか、それらのダイレクトインターネットアクセシビリティを完全に排除するかのいずれかです。ディフェンダーはさらに、侵害の指標についてログを精査し、外国ホスティングプロバイダーから発信される疑わしいトラフィックについてOTポートを監視し、すべてのリモートアクセスポイントに多要素認証を実施することを奨励されています。さらに、機関はデジタルハイジーンの基本的でありながら多くの場合無視される原則を強調しています:ファームウェアパッチのタイムリーな適用、余分なサービスの無効化、および冗長な認証ベクトルの削除です。

ネットワークセキュリティ

この現代的なキャンペーンは、イラン国家機関とその関係者に起因する攻撃の十分に文書化された系統と一致しています。約3年前、米国のUnitronics PLCを巻き込む非常に類似したパラダイムが展開されました。その間、イスラム革命防衛隊にリンクされたグループCyberAv3ngersは、米国のOTシステムの脆弱性を悪用し、複数の波にわたって少なくとも75の装置を危険にさらしました。これらのターゲットの近くは水と排水処理施設であり、重要インフラの最も敏感な階層の1つを表しています。

この政治的軌道のより最近の図解は、厳密に産業的な領域の外にありますが、イラン情報省に関連するHandalaグループを巻き込んでいます。この集団は最近、アメリカの医療企業Strykerに対する破滅的な打撃に関与していることが明らかになり、モバイルハードウェアと企業ワークステーションを含む約80,000台のデバイスのデータを削除していたと伝えられています。

翻訳元: https://meterpreter.org/targeting-the-grid-how-iranian-hackers-are-exploiting-exposed-u-s-industrial-controllers/

ソース: meterpreter.org
#APT攻撃 #PLC #Rockwell Automation #SCADA #イラン関連脅威 #インターネット露出 #サイバーセキュリティ #データ盗難 #産業用コントローラー #重要インフラ

関連記事

AIプロキシの悪用:Instagramアカウント乗っ取りに利用されたMetaの仮想アシスタント

コンピュート危機:従量課金制に反発する開発者たちとGitHub Copilot

脆弱性開示を巡る亀裂:Microsoftがセキュリティ研究者への姿勢を見直し