イランの関連グループCyberAv3ngersが水道施設と産業制御システムを標的に

イラン関連の脅威グループCyberAv3ngersは、米国の水道施設と産業制御システムへの攻撃を強化しており、派手なハクティビズムから運用技術（OT）環境への継続的な混乱へシフトしています。

CyberAv3ngersはイラン革命警備隊サイバー電子司令部（IRGC-CEC）の国家指導型のペルソナとして活動し、独立したハクティビストグループではありません。米国

2024年2月の財務省制裁では、CyberAv3ngers作戦を指揮したとして6人のIRGC-CEC職員を指名し、一方、米国国務省はグループの活動と主要なオペレーターに関する情報に対して1000万ドルの報奨金を掲示しました。

米国の機関と民間部門の研究者は、Storm-0784、BAUXITE、Hydro Kitten、UNC5691を含む重複する呼称でこの脅威を追跡しています。

これにより、CyberAv3ngersはテヘランの地政学的目標に一致する戦略的目標を持つ国家後援の高度な持続的脅威のカテゴリーに確実に配置されます。

このグループは2023年後半に広く注目を集めました。米国、イスラエル、英国、アイルランドの小規模な水道施設と自治体の運営事業者でデフォルト認証情報を使用してインターネットに露出した数十のUnitronics PLC を侵害しました。

被害者の環境は、しばしば消費者向けリモートアクセスツールとフラットなIT/OTネットワークに依存していたため、PLCはインターネットと企業セグメントから直接アクセス可能でした。

この攻撃面は、繰り返された連邦政府の警告にもかかわらず持続しており、今日、多くの小規模オペレーターが構造的に露出したままです。

2024年半ばまでに、CyberAv3ngersは単純な設定ミスを超えて兵器化されたツールに移行していました。

ClarotyのTeam82は、複数のベンダーのルーター、PLC、HMI、IPカメラ、ファイアウォール、燃料管理システムを標的とするLinuxベースのOT/IoTマルウェアプラットフォームであるIOCONTROLを文書化しました。

IOCONTROLはコマンド・アンド・コントロール用にポート8883でMQTT over TLSを使用し、正当なトラフィックに溶け込み、OSコマンド実行、ポートスキャン、自己削除などの機能をサポートしています。

研究者はそれを民間人の重要インフラを攻撃するための特別に構築されたサイバー兵器と評価し、日和見的な侵害から意図的なOT混乱へのグループの成熟を強調しています。

ロックウェルの欠陥の悪用

2026年、CyberAv3ngersと関連するイラン系のアクターはCVE-2021-22681を悪用してロックウェル・オートメーションLogixコントローラーに転向しました。これはロックウェルのStudio 5000 / RSLogix 5000エコシステムの認証バイパスです。

ロックウェルと複数のセキュリティ勧告は、この設計上の問題はパッチで完全に修復することはできず、厳格なネットワークセグメンテーション、セキュアなリモートアクセス、CIPセキュリティ、物理的なモードスイッチ強化などの多層防御コントロールを通じて対処する必要があることを強調しています。

欠陥は、エンジニアリングソフトウェアをコントローラーに認証するために使用される不十分に保護された暗号化キーに起因しています。このキーを取得した攻撃者は、信頼されたツールになりすまし、認証をバイパスし、EtherNet/IP（TCP 44818）を介してPLCロジックとプロジェクトファイルを直接操作できます。

2026年4月7日、FBI、CISA、NSA、EPA、エネルギー省、および米国サイバーコマンドからの共同勧告（CISA AA26-097A）は、イラン系のアクターが米国政府サービス、水道・下水道システム、およびエネルギー部門全体でインターネットに露出したPLC、特にロックウェル/アレン・ブラッドリー機器を積極的に悪用していることを確認しました。

勧告は、PLCプロジェクトファイルへの悪意のある改ざんとHMI/SCADAディスプレイの操作について報告され、複数の被害組織に運用の混乱と経済的損失を引き起こしました。

関連グループの集団

CyberAv3ngers自体が混乱していたとしても、脅威が後退する可能性は低いです。米国政府と業界のレポートは、グループのICS利用トレードクラフトが60以上の親イラン系および協調したハクティビストグループに広がっており、経験の浅いオペレーターがシェアされたテクニックとツールを使用してPLC集約的な攻撃を試みることができることを示しています。

これにより、露出したOT環境に集合的に圧力をかける準自律的なアクターの拡散した「集団」が作成されます。

同時に、CyberAv3ngersは技術的な作戦と並行して影響キャンペーンを実行し続け、古いデータとスクリーンショットをリサイクルして影響を誇張し、その攻撃に対する公開認識を形作っています。

アナリストは、防御者がグループの公開請求を懐疑的に扱い、主張されたブリーチを検証する前に確認技術的証拠を探すべきだと強調しています。

インターネットに露出したPLC、特にロックウェルLogixとUnitronicsデバイスを担当する防御者は、直ちに行動を取るよう促されます。

優先的なステップには、PLCをパブリックインターネットから切断し、MFAを使用したセキュアなリモートアクセスを強制し、エンジニアリングワークステーションを信頼できないネットワークから隔離することが含まれます。

オペレーターは、PLCモードスイッチを可能な限りRunに設定し、ロジックと構成をオフラインにバックアップし、CISA AA26-097Aからの侵害の指標を監視ツールにデプロイし、OTセグメントから発信される疑わしいEtherNet/IP（TCP 44818）、MQTT over TLS（TCP 8883）、およびDNS-over-HTTPSアクティビティを監視する必要があります。

広く展開されたコントローラーファミリーの修正不可能な認証バイパス、民間人インフラを標的にする国家指向のアクター、およびそのプレイブックを再利用する関連グループの成長するエコシステムにより、CyberAv3ngersキャンペーンは、米国の重要なインフラオペレーターが直面した最も深刻なイラン系サイバー脅威の1つを表しています。