Iranian-Affiliated Cyber Actors Exploit Programmable Logic Controllers Across US Critical Infrastructure
Iran-affiliierter Cyberangriffe haben zu Exploitationsaktivitäten geführt, die auf Internet-zugängliche OT-Geräte wie Programmierbare Logikregler (PLCs) von Rockwell Automation/Allen-Bradley abzielen. Diese Aktionen führten zu Betriebsstörungen in mehreren kritischen Infrastrukturen der USA durch Manipulation von Projektdateien und Daten auf Mensch-Maschine-Schnittstellen (HMIs) und SCADA-Anzeigen. US-Organisationen sollten die empfohlenen Maßnahmen ergreifen, um das Risiko einer Beeinträchtigung zu reduzieren, einschließlich der Entfernung von PLCs vom Internet und dem Prüfen von Logs auf verdächtige Aktivitäten.
Iran-affiliierte Cyberakteure haben internetzugängliche OT-Geräte angegriffen, darunter Rockwell Automation/Allen-Bradley PLCs. Die Aktivitäten führten laut Artikel zu Betriebsstörungen in mehreren kritischen US-Infrastrukturen durch Manipulation von Projektdateien sowie HMI- und SCADA-Anzeigen. Empfohlen werden unter anderem das Entfernen von PLCs aus dem Internet und die Prüfung von Logs auf verdächtige Aktivitäten.
US-Organisationen in kritischen Infrastrukturen mit internetzugänglichen OT-Geräten, insbesondere Rockwell Automation/Allen-Bradley PLCs.
Manipulationen an PLC-Projektdateien sowie HMI- und SCADA-Anzeigen können Betriebsabläufe in kritischer Infrastruktur stören.
Ein Angreifer manipuliert OT-Daten und Anzeigen so, dass Betriebsstörungen in kritischen Infrastrukturen entstehen oder fortbestehen.
PLCs vom Internet entfernen, Remote-Zugriffe restriktiv absichern und OT-Logs auf verdächtige Aktivitäten prüfen.
- ▸Defensiver Check 1: Externe Angriffsfläche prüfen und bestätigen, dass PLCs nicht direkt aus dem Internet erreichbar sind.
- ▸Defensiver Check 2: OT- und Netzwerklogs auf unerwartete Zugriffe auf PLCs, HMIs und SCADA-Komponenten prüfen.
- ▸Defensiver Check 3: Integrität von PLC-Projektdateien sowie HMI- und SCADA-Anzeigen mit bekannten, freigegebenen Baselines vergleichen.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T0883 Internet Accessible Device | High | Der Artikel beschreibt Angriffe auf internetzugängliche OT-Geräte wie PLCs. |
| Inhibit Response Function | T0831 Manipulation of Control | Medium | Der Artikel nennt Manipulation von Projektdateien und Daten in OT-Umgebungen. |
| Impair Process Control | T0832 Manipulation of View | High | Der Artikel nennt Manipulation von Daten auf HMIs und SCADA-Anzeigen. |
- Konkrete betroffene Organisationen sind nicht im Artikel angegeben.
- Exploit-Details und verwendete Tools sind nicht im Artikel angegeben.
- IOCs sind nicht im Artikel angegeben.
- Genauer Umfang und Dauer der Betriebsstörungen sind nicht im Artikel angegeben.