Как сообщили власти США, связанные с Ираном хакеры с прошлого месяца атакуют американских поставщиков критически важной национальной инфраструктуры (CNI), вызывая сбои в работе и финансовые потери.
В рекомендациях Агентства по кибербезопасности и защите инфраструктуры (CISA) от 7 апреля говорится, что злоумышленники нацелены на подключенные к интернету операционные технологические активы (OT), включая программируемые логические контроллеры (PLC) производства Rockwell Automation/Allen-Bradley. На данный момент мишенями стали государственные службы и учреждения (в том числе местные муниципалитеты), системы водоснабжения и водоотведения и энергетика.
«В связи с широким распространением этих PLC и потенциальной возможностью дополнительных атак на другие устройства OT в критической инфраструктуре, мы советуем американским организациям срочно пересмотреть тактики, техники и процедуры (TTP) и индикаторы компрометации (IOC) на предмет текущей или прошлой активности в своих сетях и применить указанные меры по смягчению последствий и снижению риска компрометации», — отмечается в рекомендациях ведомства.
Согласно CISA, группа, занимающаяся атаками с использованием уязвимостей повышенного риска (APT), «злонамеренно взаимодействует с файлами проектов и манипулирует данными, отображаемыми на HMI и SCADA-дисплеях». По всей видимости, ПЛК управляют широким спектром промышленных процессов.
Американским поставщикам услуг CNI настоятельно рекомендуют:
- Использовать защищённые шлюзы и межсетевые экраны для защиты ПЛК от прямого доступа из интернета.
- Запрашивать доступные журналы на наличие IOC, указанных в рекомендациях.
- Проверять доступные журналы на наличие подозрительного трафика на портах, связанных с устройствами OT, особенно если он исходит из-за рубежа.
- Перевести физический переключатель режимов на контроллере устройств Rockwell Automation в положение «Работа».
- Связаться с ФБР, CISA, NSA или другими уполномоченными органами для получения рекомендаций, если вендор уже стал целью атаки.
Описанные инциденты последовали за мартовской акцией группировки Handala в отношении американской компании Stryker, занимающейся медицинскими технологиями, в результате которой были уничтожены десятки тысяч устройств. Можно также вспомнить аналогичную кампанию в 2023 году, когда Корпус стражей исламской революции (КСИР) Ирана атаковал водоочистные сооружения США, работающие на ПЛК, произведённых израильской Unitronics.
CISO компании Corsica Technologies Росс Филипек по этому поводу заявил: «Годы громких инцидентов с инфраструктурой показали миру две вещи. Во-первых, во многих средах операционных технологий до сих пор существуют доступные через интернет интерфейсы и пути удалённого доступа, которые никогда не предназначались для постоянного использования. Во-вторых, даже ограниченные сбои могут вызвать масштабный хаос — от перегрузки служб экстренного реагирования до финансовых потерь и ущерба репутации».
Вице-президент Exabeam по стратегии в области ИИ и исследованиям в сфере безопасности Стив Поволни полагает, что организации, работающие в секторе критически важных ОТ, должны учитывать повышенную разведку, сбор учётных данных и попытки использования уязвимостей со стороны потенциального противника.
«Пробелы в видимости между телеметрией ИТ и ОТ остаются одной из наиболее распространённых проблем, которые я наблюдаю у операторов CNI. Командам следует уделять приоритетное внимание пассивному мониторингу сети для протоколов управления, обеспечивать строгую сегментацию между корпоративной и контрольной зонами, проверять пути удалённого доступа и подтверждать, что инженерные рабочие станции и каналы технического обслуживания поставщиков находятся под строгим контролем и регистрируются», — уверен он.
Усам Оздемиров
.png)
