Amerikanska federala myndigheter varnar för en pågående cyberkampanj där irankopplade aktörer riktar in sig på internetanslutna industriella styrsystem inom kritisk infrastruktur i USA. En gemensam cybersäkerhetsvarning från FBI, CISA, NSA, energidepartementet DOE och miljömyndigheten EPA beskriver hur angriparna exploaterar programmerbara logiska styrsystem, så kallade PLC-enheter, från bland annat Rockwell Automation och Allen-Bradley.
Enligt rapporten har attackerna orsakat störningar inom flera sektorer, däribland vattenförsörjning, energisystem och kommunal verksamhet. Angriparna ska ha manipulerat projektfiler och förändrat data som visas i SCADA- och HMI-system, vilket i vissa fall lett till driftstopp och ekonomiska förluster. Myndigheterna bedömer att syftet är att skapa störningar i amerikansk samhällskritisk verksamhet.
Rapporten pekar ut en iranskt associerad APT-grupp med kopplingar till Revolutionsgardets cyberenhet. Gruppen uppges tidigare ha genomfört liknande attacker mot PLC-system i USA under 2023, då minst 75 enheter komprometterades inom vatten- och avloppssektorn. I den aktuella kampanjen har aktörerna enligt myndigheterna använt utländska IP-adresser för att ansluta till exponerade PLC-enheter via legitima konfigurationsverktyg som Studio 5000 Logix Designer.
De angripna systemen omfattar bland annat CompactLogix- och Micro850-enheter. Rapporten varnar samtidigt för att även andra tillverkares industriella styrsystem kan vara utsatta, inklusive Siemens S7-serien. Angriparna har enligt myndigheterna använt vanliga OT-portar som 44818, 2222, 102 och 502 för kommunikation mot systemen samt installerat SSH-programvaran Dropbear för fjärråtkomst.
Myndigheterna uppmanar amerikanska organisationer att omedelbart koppla bort PLC-enheter från direkt internetexponering och i stället använda säkra gateway-lösningar och brandväggar. Vidare rekommenderas multifaktorautentisering, segmentering av OT-nätverk och kontinuerlig loggövervakning. Särskild vikt läggs vid att hålla säkerhetskopior offline samt att blockera onödiga nätverksprotokoll och tjänster som Telnet, FTP och RDP.
Rapporten framhåller också att många av problemen beror på att industriella styrsystem fortfarande exponeras direkt mot internet utan tillräckliga skyddsmekanismer. De federala myndigheterna riktar därför kritik mot tillverkare som inte levererar produkter med säkerhetsfunktioner aktiverade som standard. Dokumentet uppmanar leverantörer att implementera principer för ”secure by design” och att erbjuda multifaktorautentisering utan extra kostnad.
Cyberkampanjen beskrivs som en del av ett bredare mönster av iranska cyberoperationer riktade mot västländer och samhällsviktig infrastruktur. Amerikanska myndigheter bedömer att hotnivån mot operativ teknik och industriella kontrollsystem fortsatt är hög, särskilt mot verksamheter med äldre eller otillräckligt skyddade OT-miljöer.
Sammanfattning
Amerikanska myndigheter varnar för att irankopplade cyberaktörer attackerar internetanslutna PLC-system inom kritisk infrastruktur. Attackerna har påverkat vattenförsörjning, energisystem och kommunal verksamhet genom manipulation av industriella styrsystem och SCADA-miljöer. Myndigheterna rekommenderar omedelbara skyddsåtgärder, inklusive bortkoppling från internet, multifaktorautentisering och förstärkt nätverkssegmentering.
Källförteckning
Rockwell Automation – Security Guidance for PLC Protection