Ataki na urządzenia OT dostępne z internetu
Powiązane z Iranem grupy hakerskie prowadzą działania wymierzone w urządzenia technologii operacyjnej (OT) dostępne z poziomu internetu – wynika ze wspólnego ostrzeżenia FBI, CISA, NSA oraz innych amerykańskich instytucji. Ataki koncentrują się m.in. na programowalnych sterownikach logicznych (PLC) produkowanych przez firmę Allen-Bradley.
Manipulacja danymi i zakłócenia pracy systemów
Według służb, cyberprzestępcy wykorzystują podatności urządzeń wystawionych bezpośrednio do sieci. Ich działania obejmują „złośliwą interakcję” z plikami projektowymi oraz manipulację danymi prezentowanymi na interfejsach HMI i w systemach SCADA. W efekcie dochodzi do zakłóceń pracy instalacji przemysłowych, a także do strat finansowych.
Zidentyfikowane incydenty dotknęły kilku sektorów infrastruktury krytycznej w Stanach Zjednoczonych, w tym administracji publicznej, gospodarki wodno-kanalizacyjnej oraz energetyki. W części przypadków skutkiem ingerencji była destabilizacja działania sterowników PLC.
Agencje wskazują, że podobne działania były wcześniej przypisywane grupie CyberAv3ngers (Shahid Kaveh Group), która ma być powiązana z Dowództwem Cybernetycznym irańskiego Korpusu Strażników Rewolucji Islamskiej (IRGC).
Zalecenia dla użytkowników systemów przemysłowych
Rockwell Automation poinformował o współpracy z instytucjami rządowymi w obszarze cyberbezpieczeństwa i w marcu br. opublikował rekomendacje ograniczające ryzyko. Wśród zaleceń znajduje się m.in. ograniczenie dostępu urządzeń do internetu.
Również agencje federalne rekomendują, aby sterowniki PLC nie były bezpośrednio dostępne z sieci publicznej. Zalecają także analizę logów pod kątem wskaźników zagrożenia (IOC) oraz utrzymywanie fizycznych przełączników trybu pracy urządzeń Rockwell Automation w pozycji „run”.
Szerszy kontekst zagrożeń
Eksperci zwracają uwagę, że aktywność grup powiązanych z Iranem nie ogranicza się wyłącznie do Stanów Zjednoczonych. W marcu odnotowano cyberatak na Narodowe Centrum Badań Jądrowych w Świerku. Według informacji przekazanych przez ministra cyfryzacji, istnieją przesłanki wskazujące na możliwe powiązania incydentu z podmiotami z Iranu. Jednocześnie resort przyznał, że pojawiały się również inne zdarzenia, które mogą być związane z aktywnością podmiotów z tego regionu.
Równolegle firma Check Point informowała o wzroście aktywności irańskich grup hakerskich na początku marca, ostrzegając przed potencjalnymi atakami na sojuszników USA w Europie.
Źródło: CRN
