美國的FBI、CISA、NSA、環境保護署(EPA)、能源部(DOE),以及網路作戰司令部的網路國家任務部隊(CNMF)等6大機構發布聯合警告,指出伊朗駭客組織CyberAv3ngers(Storm-0784、Hydro Kitten、UNC5691)正在對美國的關鍵基礎設施(CI)發動攻擊,他們尋找能透過網際網路存取的可程式化邏輯控制器(PLC),這些設備的廠牌包括Rockwell與Allen-Bradley。遭到攻擊的組織,涵蓋政府服務、水資源與廢水處理系統,以及能源產業,自今年3月開始,已有部分受害組織出現營運中斷或財務損失。
針對CyberAv3ngers滲透受害組織OT環境的過程,他們通常會利用多個外國IP位址犯案,從網際網路尋找Rockwell與Allen-Bradley製造的PLC設備。這些駭客租用第三方代管基礎設施,部署組態管理軟體,而且,這些設備使用的其中一種組態管理軟體,是Rockwell的Studio 5000 Logix Designer。至於被鎖定的PLC設備,包含CompactLogix與Micro850。
若是得逞,CyberAv3ngers就會透過44818、2222、102、22、502埠等連接埠導入惡意流量。根據這些連接埠,攻擊者針對的PLC廠牌並非局限Rockwell與Allen-Bradley,也出現攻擊西門子S7系列PLC機種的情況再者,駭客會在受害組織的端點部署SSH連線工具Dropbear,此為OpenSSH的輕量級替代方案,經常用於嵌入式系統。最終駭客截取PLC設備的專案檔案,並竄改人機介面(HMI)與SCADA顯示的資料。
對此,美國政府呼籲企業組織應將PLC與對外網路斷開連線,並透過實體開關或是軟體金鑰切換等機制,防止未經授權的遠端修改。他們也呼籲要對PLC的邏輯與組態設置進行強而有力的備份,並測試與確認其有效性。
