長年にわたりアメリカへの継続的で持続的なサイバー脅威と見なされてきたイランは、2月に両国が戦争に突入して以来、その能力を高めている。
国家が支援する工作員から親イラン系ハクティビストや金銭目的のハッカーに至るまで、イランが支援するサイバー脅威グループは、アナリストとセキュリティ研究者によると、サイバー領域においていくつかの動機と能力を進化させたようだ。
「我々が目にしているのは、より破壊的な効果を狙った攻撃である」と、防民主主義基盤(FDD)のサイバー・技術革新センター(CCTI)の所長アニー・フィクスラーはサイバーセキュリティ・ダイブに語った。
我々が目にしているのは、より破壊的な効果を狙った攻撃である。
アニー・フィクスラー
防民主主義基盤のサイバー・技術革新センター(CCTI)所長
具体的には、イランとリンクしている工作員は、パロアルトネットワークスの研究者によると、イスラエルに対する最近の攻撃でデータ消去型マルウェアの使用を増加させており、検出を回避する能力をより高めている。
別の懸念される発展として、ダークトレースは先週、ZionSiphonと呼ばれるマルウェア株の分析を発表し、イスラエルの水道施設における塩素レベルと圧力制御に潜在的に干渉する可能性がある。マルウェアには、さらなる心理的影響を与えるために、親イラン及びパレスチナ関連のメッセージが埋め込まれていた。
イランによる最近の軍事攻撃は、チェック・ポイント・リサーチによると、ビデオカメラの欠陥の悪用と運動学的軍事攻撃を組み合わせた可能性がある。この活動は、より高いレベルの連携を示唆しており、重要インフラ、監視、および他のターゲット脅威活動に対して潜在的に利用される可能性があるとCCTIのフィクスラーは指摘した。
一方、米国とイスラエルによる爆撃キャンペーンは、イランの従来の軍事能力における弱点を露呈させた。例えば、その独自の領空を支配・防御する能力の限界や、同盟国の爆撃キャンペーンに直接対抗する能力の不足などである。しかし、イランはサイバー攻撃を利用して、湾岸諸国、イスラエル、米国、そして自国の政治的反対者に対してメッセージを送り、恐喝、スパイ行為、破壊行為を行ってきた。
イラン系ハッカーが重要インフラをターゲット化
-
2月28日
米国とイスラエルがイランに対する協調爆撃キャンペーンを開始。
-
3月11日
医療機器メーカーのストライカーが消去型攻撃を受ける。
-
3月19日
司法省がハンダラにリンクされたドメインの押収を発表。
-
4月7日
FBIとCISAが水道・エネルギー事業者の欠陥をターゲットにするイラン系ハッカーについて警告。
サイバー脅威警告
3月、様々な重要インフラセクターのサイバー脅威共有グループが共同勧告を発表し、イラン系工作員からのサイバー攻撃の脅威の高まりについて警告した。
「報告書を発表した以来、重要インフラコミュニティからイラン系工作員の活動についてのレポートが確かに出ている」と、情報技術ISAC(IT-ISAC)の執行理事スコット・アルガイアーはサイバーセキュリティ・ダイブに語った。
3月の医療機器メーカー・ストライカーへのデータ消去型サイバー攻撃は、イラン系工作員による攻撃の最も注目度の高い例となったが、アルガイアーは、重要サイトをターゲットにしたサイバー攻撃のレポートもあったと指摘した。イラン系工作員は、例えば、OT環境で使用されるプログラマブルロジックコントローラに引き続き焦点を当てているという。
CISAの暫定局長ニック・アンダーセンは、木曜日に下院歳出委員会国土安全保障小委員会での公聴会でイラン系工作員が米国の設定不十分な重要インフラサイトに対する活動を強化しているが、これまでのところ大きな進展がないと述べた。
CISAおよび他の機関は、数年にわたってハクティビストグループがセキュリティ管理の欠落を悪用していることについて重要インフラサイトで警告してきた。
アンダーセンは、米国には重要インフラをサポートするために使用されている「膨大な量」のIT・OTがあり、これが公開インターネットに露出し、保護されておらず、「デフォルトパスワード変更などの最新のセキュリティプラクティスを必ずしも利用していない」と指摘した。
「我々がイランを具体的な国家国家脅威行為者として見ると、インターネットアクセス可能な保護されていないデバイスがある場所にとても好機主義的に焦点を当てている」とアンダーセンは公聴会で証言した。「それはそれらのデバイスへの接続を試みるための機会を彼らに提供している。」
我々がイランを具体的な国家脅威行為者として見ると、インターネットアクセス可能な保護されていないデバイスがある場所にとても好機主義的に焦点を当てている。
ニック・アンダーセン
CISA暫定局長
CISAおよびFBIは、一方でイラン系脅威活動に関する共同勧告を4月7日に主導し、悪意あるハッカーが水道施設、エネルギー施設およびその他の産業サイトでロックウェル・オートメーション/アレン・ブラッドリー機器をターゲットにしていると警告した。
米国エネルギー省、環境保護庁および他の連邦パートナーによって共同執筆された勧告は、攻撃者がヒューマンマシンインターフェースおよび監視制御とデータ取得ディスプレイを操作しようとしたと警告した。
当局は攻撃の具体的なパターンを詳しく説明していないが、研究者は特定の脅威グループへのいくつかの活動をトレースすることができている。
パロアルトネットワークス Unit 42は、FBI勧告で引用されている同じロックウェル・オートメーション機器へ3月後半の脅威活動のクラスタをリンク付けした更新されたブログポストによると金曜日にリリースされた。
CL-STA-1128として追跡される脅威グループ(Cyber Av3ngersまたはStorm-0784としても追跡)は、Unit 42研究者によると、ロックウェル・オートメーションのFactory Talkソフトウェアを仮想プライベートサーバインフラストラクチャにインストールして悪用した。
非対称サイバー能力
イランは近年、国家が支援する工作員およびハクティビスト工作員のネットワークを活用して、サイバーキャンペーンを通じて恐怖、不和および運用上の混乱をもたらす能力を実証している。
CISAを含む米国当局は、2018年以来MuddyWater(Seedwormまたはスタティック・キテンとしても知られている)の名前で高度な持続的脅威行為者グループを追跡している。イランの情報セキュリティ省(MOIS)の下で活動するこのグループは、ライバル政府、防衛産業、通信およびエネルギープロバイダーをスピアフィッシング、既知の脆弱性の悪用、サイバー諜報を行うためのオープンソースツール悪用を通じてターゲットにしており、機密データを盗み、ランサムウェアを展開している。
2022年に、米国財務省はMOISに制裁を課した。2007年にさかのぼる米国および他の同盟国に対する脅威活動との関連である。財務省は、2022年7月のアルバニア政府に対するサイバー攻撃を引用し、イランとリンクされたグループであるHomeLand Justiceが14ヶ月間ターゲットコンピュータネットワークへのアクセスを獲得してから、ランサムウェアとディスク消去型マルウェアを発動させた。
イランはまた、長い間、イスラエル、その主要な地政学的ライバルに対する重要インフラをターゲットにするためにサイバー利用してきた。2023年に始まるガザ戦争の間、これらの攻撃者はまた米国の水道施設および他の重要インフラもターゲットにした。
米国の飲料水および廃水処理施設もまたイラン系サイバー攻撃の被害者となっており、特にユニトロニクスPLCの弱点を悪用したキャンペーンである。米国には約150,000の公共水道施設および16,000の廃水処理サイトがあり、そのほとんどはそのような攻撃を防ぐための人員、資金またはトレーニングを欠いている。
水セクターは従来、比較的攻撃しやすいターゲットである。2024年の連邦調査では、数百の米国水道サイトがインターネットに露出していたか、他の設定の弱点を含んでいることがわかった。報告書はまた、環境保護庁がインシデント報告計画またはCISAとの調整のための文書化された手順を欠いていたことを発見した。
セキュリティ業界のリーダーは、水および他のユーティリティに対する現在のサイバー脅威がイラン系脅威グループによる能力の明確なエスカレーションを表していると述べている。
水情報共有・分析センターのインフラストラクチャサイバー防御ディレクターのジェニファー・リン・ウォーカーは、CyberAv3ngersにリンクされた前の活動は、洗練さに欠ける「迷惑な脅威」であったと述べた。しかし、現在の脅威活動は「悪意のある行為で混乱を引き起こそうとする意図を含むエスカレーション」を表していると、ウォーカーはサイバーセキュリティ・ダイブに語った。
最近の脅威活動にもかかわらず、EPAは飲料水は安全であると述べた。「コミュニティに安全な飲料水を配信するための水道システムの能力に影響を与えていない」とスポークスパーソンは述べた。
連邦政府はイラン脅威行為者に対するいくつかの措置を講じている。水道システムおよび他の重要セクターに対する攻撃に続いて、財務省は2024年にイスラム革命防衛隊メンバーに対して制裁を発令した。米国の様々な重要セクターに対する悪意ある活動を引用する。これらの攻撃の中には、FBIによって破壊された2021年のボストン児童病院をターゲットにしたランサムウェア攻撃があった。
ハッカーが永続性を獲得
ストライカーに対するサイバー攻撃は、イラン系工作員に関する以前に既知の内容を超える能力を実証した。即ち、同社のマイクロソフト・インテューン環境を悪用し、数千のモバイルデバイスからデータを削除する破壊的なワイパーの展開である。
CCTIのフィクスラーおよび他のアナリストは、攻撃者が攻撃の長い時間前にストライカーの認証情報を取得し、足がかりを確立した可能性があると述べている。しかし、攻撃はまだ調査中であるため、公式の詳細は未だにリリースされていない。
ストライカー攻撃にリンクされるサイバー脅威グループハンダラは、フラッシュポイントの研究者によると、複数のターゲット組織全体でマイクロソフト・エントラ、VMware vSphere、IBMフラッシュシステム環境への持続的アクセスを獲得したと主張している。
「彼らがチャンネルで共有したスクリーンショットは、これらが複数の攻撃キャンペーンの一部であることを示しており、ただし被害者からの確認を得るまで検証が困難である」と、フラッシュポイントのインテリジェンス副社長イアン・グレイはサイバーセキュリティ・ダイブに語った。
これらのスクリーンショットは、マイクロソフト・エントラ内で一時アクセスパスを生成する攻撃者の能力を示しており、これはハッカーが多要素認証をバイパスすることを可能にする。
マイクロソフト担当者はコメントを拒否した。IBMおよびブロードコム担当者は直ちにコメントが得られなかった。
3月、CISAは全国のセキュリティチームにエンドポイント・セキュリティを強化するよう促した ストライカー攻撃の後。
イラン・サイバー脅威からの防御
セキュリティチームがイラン系脅威行為者からの潜在的な攻撃を軽減するために講じるべきいくつかのステップがある。例えば、インターネットに面したデバイスは開放アクセスから削除され、多要素認証が有効にされるべきである。
セキュリティチームはまた、産業機器およびシステムのロジックと設定を含むPLCの強力なバックアップコピーを作成すべきである。
コントローラに物理的なモードスイッチが含まれている場合、リモート変更を防ぐため実行ポジションに配置されるべきである。
ワイパー攻撃から保護するため、セキュリティチームは常時権限を排除し、エントラID管理者アカウントも強化すべきであるパロアルトネットワークス研究者によると。
