2026年4月7日、米国の連邦機関は、イラン関連のAPT組織が複数の米国重要インフラセクターにおいてインターネット公開型プログラマブルロジックコントローラ(PLC)を積極的に悪用していることを警告する共同アラートを発行した。
助言AA26-097Aは、この活動をCyberAv3ngersの背後にある同じエコシステムと結びつけている。CyberAv3ngersはイランのイスラム革命防衛隊サイバー電子司令部(IRGC-CEC)に関連していると米国政府が関連付けている人物である。
影響を受けた組織は政府サービス、水道・下水処理システム、およびエネルギーセクターにまたがり、PLC障害、HMI/SCADAデータの改ざん、およびその結果としての運用と財務的損害の確認済み事件がある。
CyberAv3ngersは少なくとも2020年以降に活動しており、Storm-0784(Microsoft)、Bauxite(Dragos)、Hydro Kitten、UNC5691(Mandiant)を含む複数の脅威名で追跡されており、MITRE ATT&CKグループID G1027にマップされている。
当初は反イスラエルメッセージを中心とするハクティビスト活動として提示されていたが、米国政府の制裁と独立した研究により、その資金、インフラストラクチャ、およびツールは、緩いアクティビスト集団ではなく国家主導プログラムと一致していることが確立された。
2024年、米国財務省のOFACはCyberAv3ngers活動を指揮したとして6人のIRGC-CEC関係者に制裁を加えた。国務省の正義のための報奨プログラムは、これらのオペレーターの1人に関連していると考えられる「Mr. Soul」というペルソナに数百万ドルの賞金を設定した。
その後流出した記録は、共有インフラストラクチャ、ドメイン追跡、および暗号資産管理を示し、CyberAv3ngersを他のイラン系ペルソナ(Moses Staffなど)と正式に結びつけ、分断されたグループではなく調整された国家運営のエコシステムを示している。
しかし、同グループの公式な説明は額面通りに受け取ることはできない。CyberAv3ngersは技術的な侵入と並行して意図的な影響力キャンペーンを実施し、盗まれたスクリーンショットとデータを再利用して、申し立てられた侵害を捏造または誇張している。
イスラエルのドラド発電所に対する2023年10月の広く報道されたクレームは、その後Moses Staffリークから再利用された画像に依存していることが示されたが、劇的にパッケージングされた偽情報がメディア報道とセキュリティ論議をどのように形作ることができるかを示している。
現在のベンダーインテリジェンスは、可能な限りPLCをインターネットへの直接公開から切り離し、MFAとログによる強力なリモートアクセス制御を適用し、強化することが明確である。
または消費者向けリモートアクセスツールを置き換え、エンジニアリングワークステーションとコントローラーが一般的なビジネスシステムから到達不可能になるようにITとOTネットワークを厳密にセグメント化する。
組織はCISA提供のインジケーターをSIEMおよびIDSプラットフォームに取り込み、OTセグメントからの異常なMQTT-over-TLSおよびDNS-over-HTTPSトラフィックを監視し、Unitronicsのデフォルト認証情報が変更されており、Rockwell Logixコントローラーが現在の検出コンテンツでカバーされていることを検証する必要がある。
翻訳元: https://cyberpress.org/cyberav3ngers-targets-water-systems/