Киберагенты, связанные с Ирано... Заметка

Киберагенты, связанные с Ираном, используют программируемые логические контроллеры в критически важной инфраструктуре США

Данное уведомление предупреждает о киберзлоумышленниках, связанных с Ираном, которые нацелены на критически важную инфраструктуру США, уделяя особое внимание ПЛК Rockwell Automation/Allen-Bradley. Эти злоумышленники используют подключенные к Интернету устройства OT, вызывая сбои путем манипулирования файлами проектов и данными на дисплеях HMI/SCADA, что приводит к операционным и финансовым потерям. Затронутые сектора включают государственное управление, водоснабжение, водоотведение и энергетику. Организациям следует ознакомиться с предоставленными индикаторами компрометации (IOC) и тактиками, техниками и процедурами (TTP). Ключевые действия включают отключение ПЛК от Интернета, проверку журналов на наличие подозрительного трафика и обращение в соответствующие агентства. В атаках использовались IP-адреса, расположенные за рубежом, и были нацелены на определенные порты, используемые устройствами OT. ФБР оценивает, что эти атаки являются частью продолжающейся кампании, направленной на причинение сбоев. Уведомление включает список IP-адресов и техник MITRE ATT&CK, используемых злоумышленниками. Рекомендуемые меры по смягчению последствий соответствуют Целям кибербезопасности 2.0 для межсекторальных организаций CISA и NIST. Организациям также следует ознакомиться с рекомендациями Rockwell Automation по безопасности. Ранее аналогичные атаки приписывались группе CyberAv3ngers.