ФБР предупредило о кибератаках, связанных с Ираном группировок на доступные из интернета устройства в критически важной инфраструктуре США, включая программируемые логические контроллеры (PLC). По данным американских ведомств, такие действия уже привели к снижению функциональности PLC, подмене отображаемых данных, а в ряде случаев – к сбоям в работе и финансовым потерям. Об этом сообщает издание The Hacker News.
Как отмечается, кампания стала частью недавней эскалации кибератак на американские организации на фоне продолжающегося конфликта между Ираном, США и Израилем. В ряде секторов критической инфраструктуры США были зафиксированы нарушения работы PLC, вызванные вредоносным вмешательством в проектные файлы и манипуляциями данными на дисплеях HMI и SCADA-систем.
Среди основных целей названы контроллеры Rockwell Automation и Allen-Bradley, используемые в государственных учреждениях, на объектах водоснабжения и водоотведения, а также в энергетике. По данным ведомств, злоумышленники использовали арендованную стороннюю инфраструктуру с программным обеспечением для конфигурации, чтобы устанавливать доверенное соединение с устройствами жертв. После первоначального доступа они разворачивали SSH-программу Dropbear для удаленного управления, извлечения проектных файлов и дальнейших манипуляций с данными.
Организациям рекомендовано не оставлять PLC доступными из интернета, ограничить возможности удаленного изменения конфигурации, внедрить многофакторную аутентификацию, использовать межсетевые экраны или прокси для контроля доступа, своевременно обновлять устройства, отключать неиспользуемые механизмы аутентификации и отслеживать подозрительный трафик.
Ранее хакеры CapFix атаковали авиастроение РФ, разослав письма от госструктур.