По мере обострения войны между США и Израилем, участились и хакерские атаки на промышленные объекты США.
Фото: Мирсад Сарайлич/Getty Кредит: Мирсад Сарайлич/Getty Текстовые настройкиТекст рассказа Размер Маленький Стандартный Большой Ширина * Стандартный Широкий Ссылки Стандартный Оранжевый * Только для подписчиков
Узнать больше Свернуть в навигацию
Хакеры, работающие по поручению иранского правительства, срывают работу нескольких объектов критической инфраструктуры США, вероятно, в ответ на продолжающуюся войну страны с США, предупреждают полдюжины правительственных ведомств.
В опубликованном во вторник предупреждении ФБР, Агентство по кибербезопасности и защите инфраструктуры, Агентство национальной безопасности, Агентство по охране окружающей среды, Министерство энергетики и Киберкомандование США «срочно» предупредили, что APT (Advanced Persistent Threat Group) нацелена на ПЛК (программируемые логические контроллеры). Эти устройства, обычно размером с тостер, используются на заводах, водоочистных сооружениях, нефтеперерабатывающих заводах и других промышленных объектах, часто в удаленных местах. Они обеспечивают интерфейс между компьютерами, используемыми для автоматизации, и физическим оборудованием.
Сбои в работе и финансовые потери
«По меньшей мере с марта 2026 года организации-разработчики выявили (в ходе взаимодействия с организациями-жертвами) связанную с Ираном APT-группу, которая нарушала работу ПЛК», — говорится в сообщении. «Эти ПЛК были развернуты в различных секторах критической инфраструктуры США (включая государственные службы и объекты, системы очистки сточных вод и энергетический сектор) в рамках широкого спектра процессов промышленной автоматизации. Некоторые из пострадавших столкнулись с операционными сбоями и финансовыми потерями».
Среди взломанных или целевых ПЛК — устройства производства Rockwell Automation/Allen-Bradley. Компания Censys, специализирующаяся на информационной безопасности, сообщила в среду, что проведенное ею сканирование интернета выявило 5219 таких устройств, находящихся в открытом доступе. Целых 75 процентов из них расположены в США и, вероятно, в удаленных местах, где находится оборудование. Инфраструктура, используемая для атаки на эти устройства, представляет собой «единую многоканальную рабочую станцию Windows для инженеров, работающую с инструментальной цепочкой Rockwell».
«Текущая кампания предполагает прямой доступ к ПЛК, подключенным к интернету, с использованием легитимного программного обеспечения поставщика (Rockwell Studio 5000 Logix Designer), что позволяет злоумышленникам взаимодействовать с файлами проекта и манипулировать данными отображения HMI/SCADA без необходимости использования уязвимостей нулевого дня», — заявила компания. «Подтвержденные целевые семейства устройств включают CompactLogix и Micro850».
Рабочая станция подключается к ПЛК с использованием протокола удаленного рабочего стола (Remote Desktop Protocol) через нестандартный TCP-порт 43589. Она использует самоподписанный сертификат с общим именем DESKTOP-BOE5MUC. Хосты также предоставляют полный стек протоколов Windows (DCERPC/135, MSMQ, NetBIOS).
В опубликованном во вторник сообщении говорилось, что также изучаются другие протоколы операционных технологий, такие как Modbus S7/10, что указывает на то, что объектом проверки являются и ПЛК других производителей.
Хакеры, действующие от имени Корпуса стражей исламской революции Ирана, и раньше атаковали промышленные объекты в США. В 2023 году группа, известная как «CyberAv3ngers», нарушила работу ПЛК и человеко-машинных интерфейсов в США. По меньшей мере 75 устройств в нескольких критически важных секторах инфраструктуры были скомпрометированы.
В середине марта, всего через день после того, как США и Израиль нанесли авиаудары по Ирану, транснациональная компания по производству медицинского оборудования Stryker подтвердила кибератаку, которая на несколько дней вывела из строя большую часть ее инфраструктуры. Исследователи также подтвердили, что за это ответственна проиранская хакерская группа, известная как Handala, как она и утверждала в социальных сетях. Handala также стояла за взломом личной электронной почты директора ФБР Каша Пателя в прошлом месяце. В электронном письме компания Flashpoint, занимающаяся вопросами безопасности, заявила, что проиранские прокси-группы также успешно проводят DDoS-атаки на «крупные платформы, такие как Netflix и Pinterest, а также на порталы австралийского правительства».
В сообщениях от вторника и среды указаны IP-адреса и другие идентификаторы инфраструктуры злоумышленников. В них также содержатся рекомендации по блокировке ПЛК. По мере продолжения войны с Ираном подобные кибератаки, вероятно, будут усиливаться.
Источник: arstechnica.com
