Хакеры, связанные с Ираном, нацеливаются на программируемые логические контроллеры (ПЛК) Rockwell/Allen-Bradley, доступные через Интернет, в сетях организаций критической инфраструктуры США.
Предупреждение было опубликовано ранее сегодня в виде совместного консультативного документа, подготовленного ФБР, CISA, АНБ, Агентством по охране окружающей среды (EPA), Министерством энергетики (DOE) и Командованием киберпространства США – Силами национальной кибермиссии (CNMF).
Агентства-составители заявили, что эти продолжающиеся атаки были направлены на организации в различных секторах критической инфраструктуры США (включая государственные услуги и объекты, системы водоснабжения и водоотведения, а также энергетику) и привели к финансовым потерям и операционным сбоям с марта 2026 года.
“ФБР оценивает, что группа аффилированных с Ираном APT-акторов нацеливается на ПЛК, доступные через Интернет, с целью вызвать сбои — включая злонамеренное взаимодействие с файлами проектов и манипулирование данными, отображаемыми на дисплеях HMI и SCADA, — в организациях критической инфраструктуры США”, — предупреждается в консультативном документе.
“Кампании APT, аффилированные с Ираном, нацеленные на организации США, недавно обострились, вероятно, в ответ на враждебные действия между Ираном, США и Израилем”.
“ФБР установило, что эта деятельность привела к извлечению файла проекта устройства и манипулированию данными на дисплеях HMI и SCADA”, — добавили американские агентства.
Аналогичное предупреждение, выпущенное в ноябре 2023 года, предупреждало о том, что группа угроз CyberAv3ngers, связанная с иранским Корпусом стражей исламской революции (КСИР), использовала уязвимости в операционных технологических (ОТ) системах Unitronics, базирующихся в США.
В период с ноября 2023 года по январь 2024 года хакеры CyberAv3ngers скомпрометировали не менее 75 устройств ПЛК Unitronics в ходе нескольких волн кибератак, половина из которых пришлась на сети критической инфраструктуры водоснабжения и водоотведения (WWS).
Для защиты от подобных атак сетевым защитникам рекомендуется отключить ПЛК от Интернета или защитить их с помощью межсетевого экрана, сканировать журналы на предмет индикаторов компрометации, указанных в сегодняшнем совместном предупреждении, и проверять наличие подозрительного трафика на портах ОТ (особенно трафика, исходящего от зарубежных хостинг-провайдеров).
Им также следует внедрить многофакторную аутентификацию (MFA) для доступа к ОТ-сети, обновлять прошивки ПЛК до последних доступных версий, отключать все неиспользуемые службы и методы аутентификации (например, ключи аутентификации по умолчанию) и отслеживать сетевой трафик на предмет подозрительной активности.
В прошлом месяце хактивистская группа Handala, связанная с Ираном и поддерживающая Палестину, стерла данные примерно с 80 000 устройств в сети американского медицинского гиганта Stryker, включая мобильные устройства сотрудников и персональные компьютеры, управляемые компанией.
ФБР также предупредило, что иранские хакеры, связанные с Министерством разведки и безопасности (MOIS) страны, используют Telegram в атаках с использованием вредоносного ПО.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
