Иранские хакеры атаковали ключевые инфраструктуры США: энергетику, водоснабжение и госорганы

Американские государственные ведомства во вторник предупредили организации США о продолжающейся киберактивности, нацеленной на устройства операционных технологий (ОТ) и программируемые логические контроллеры (ПЛК), включая оборудование производства Rockwell Automation и Allen-Bradley, в различных секторах критической инфраструктуры. Эта активность приписывается группам условно-постоянных угроз (APT), связанным с Ираном, которые стремятся нарушить работу объектов в Соединенных Штатах.

Сбои в критических секторах

Согласно рекомендации, выпущенной федеральными кибербезопасными и правоохранительными органами, данная активность соответствует обострившейся геополитической напряженности с участием Ирана, США и Израиля.

«Эта деятельность привела к нарушениям в работе ПЛК в нескольких секторах критической инфраструктуры США посредством вредоносного взаимодействия с проектными файлами и манипуляций данными на дисплеях человеко-машинного интерфейса (HMI) и систем диспетчерского управления и сбора данных (SCADA), что повлекло операционные сбои и финансовые потери», — говорится в рекомендации.

Ведомства заявили, что злоумышленники использовали зарубежные IP-адреса для доступа к ПЛК, открытым в интернете. В некоторых случаях акторы полагались на арендованную стороннюю инфраструктуру для установления соединений с устройствами жертв с использованием легитимного инженерного программного обеспечения. Этот доступ позволил им извлекать проектные файлы и изменять данные, отображаемые в системах HMI и SCADA.

Федеральные чиновники призвали организации расследовать и проверять подозрительные IP-адреса до принятия защитных мер. Они также рекомендовали проанализировать историческую активность на предмет паттернов, связанных с операциями иранских группировок.

Рекомендуемые меры защиты

Ведомства изложили меры по смягчению угроз, соответствующие Целям кибербезопасности 2.0 для всех секторов (CPGs 2.0), разработанным CISA и NIST.

К немедленным шагам относится отключение ПЛК от публичного доступа в интернет и ограничение удаленного подключения. Для контроллеров, оснащенных физическим переключателем, организациям следует перевести устройства в режим «выполнения» (run), чтобы предотвратить удаленное изменение. Для систем, поддерживающих программное переключение режимов, агентства рекомендуют активировать защиту программирования для ограничения несанкционированных изменений.

Организациям также рекомендуется создавать и регулярно проверять резервные копии логики и конфигураций ПЛК для обеспечения восстановления в случае компрометации. Дополнительные рекомендации включают мониторинг несанкционированного доступа, анализ журналов на предмет подозрительной активности и проверку IP-адресов перед их блокировкой, чтобы избежать нарушения штатной работы.