数千美国工业PLC暴露于伊朗国家支持的威胁行为者
美国近4000台罗克韦尔自动化PLC直接暴露在线上,为伊朗国家支持的黑客攻击关键基础设施创造了一个显著的攻击面。
MITRE ATT&CK® TTPs (2)
Click any technique to view details on attack.mitre.org
执行摘要
美国近4000台工业控制设备可以直接从公共互联网访问,为伊朗国家资助的威胁行为者提供了一个重大且迫在眉睫的攻击面。根据网络安全公司BitSight的分析,这些暴露的设备——主要是罗克韦尔自动化的可编程逻辑控制器(PLC)——是伊朗高级持续性威胁(APT)团体针对美国关键基础设施的有记录活动的一部分。这些运营技术(OT)资产的暴露绕过了网络分段防御,允许直接操纵物理工业流程。
技术分析
暴露的设备是罗克韦尔自动化ControlLogix和CompactLogix系列PLC。这些是工业环境中的关键组件,控制着制造业、水处理和能源等行业的机械。BitSight的研究,如BleepingComputer报道的那样,通过扫描TCP端口44818上的特定服务横幅来识别这些设备,这是罗克韦尔的EtherNet/IP工业协议的标准端口。直接的互联网暴露意味着这些PLC没有防火墙的保护,也不在非军事区(DMZ)后面,违反了核心OT安全原则。拥有此端口网络访问权限的攻击者可以发出直接命令,读取设备状态,修改控制逻辑,或迫使PLC停止运行,可能造成运营中断或物理损坏。由于这些设备通常使用默认或弱凭据,并且缺乏编程命令的原生认证,因此利用的技术障碍降低了。
入侵指标
目前没有识别出任何入侵指标。
战术、技术与程序
报告的活动与伊朗APT的已知战术、技术与程序(TTP)一致,特别是CISA、FBI、NSA和国际伙伴在2024年2月披露的**“点击这里”活动。这一阶段的主要技术是发现(TA0043)和初始访问(TA0001),通过面向互联网的OT资产。威胁行为者正在扫描和识别暴露的PLC和人机界面(HMIs)。随后的TTP可能涉及对弱凭据的暴力破解(T1110)尝试和使用原生工程协议对PLC进行命令行界面(T1059)操纵。最终目标被假定为抑制控制系统功能(T0805)或控制操纵(T0831)**。PLC的直接暴露简化了攻击链,可能消除了早期步骤如鱼叉式网络钓鱼或VPN利用的需求。
威胁行为者背景
该活动被归因于伊朗国家资助的网络行为者,特别是被追踪为CyberAv3ngers和Soldier of Fortune的团体。这些团体有针对关键基础设施的记录历史,特别关注以色列及其盟友,包括美国。他们的活动通常将网络效果与地缘政治信息混合。2023年底针对美国水和废水系统的攻击是这一更广泛暴露发现的直接前兆。这些行为者表现出造成中断和展示能力的意图,而不仅仅是间谍活动。目前尚不清楚所有暴露的设备是否已被积极探测或破坏,但它们的可访问性与行为者声明的目标模式完全一致。
缓解措施与建议
需要立即采取行动以减少这一攻击面。
- 网络分段: 将所有OT设备,包括PLC、HMIs和工程工作站,从直接互联网访问中移除。实施一个正确配置的防火墙,并使用**非军事区(DMZ)**架构进行任何必要的远程访问。
- 访问控制: 在所有OT设备和网络组件上强制执行强大、独特的密码。为所有远程访问解决方案(如VPN和跳转箱)实施多因素认证(MFA)。
- 资产清单: 对所有OT/ICS资产进行全面清单,以识别未知或未经授权的设备,特别是那些具有外部网络接口的设备。
- 监控: 部署能够解析工业协议的网络监控解决方案,以检测OT环境中的异常命令或未经授权的访问尝试。
- 供应商指南: 咨询并实施罗克韦尔自动化的安全咨询和最佳实践,以加强ControlLogix和CompactLogix系统的安全。
订阅更新
将最新的网络安全资讯直接发送到您的邮箱。
