Cybercriminelen gelinkt aan Iran richten zich op operationele technologie (OT) apparaten die via internet toegankelijk zijn binnen Amerikaanse kritieke infrastructuren, waaronder programmeerbare logische controllers (PLC's). Volgens waarschuwingen van Amerikaanse cybersecurity- en inlichtingendiensten hebben deze aanvallen geleid tot verminderde functionaliteit van PLC's, manipulatie van weergavedata en in sommige gevallen operationele verstoringen en financiële schade.

De campagne maakt deel uit van een recente escalatie in cyberaanvallen door Iraanse hackinggroepen als reactie op het voortdurende conflict tussen Iran, de Verenigde Staten en Israël. De aanvallers manipuleren projectbestanden en gegevens op human-machine interface (HMI) en supervisory control and data acquisition (SCADA) schermen, wat heeft geleid tot verstoringen in verschillende sectoren zoals overheidsdiensten, water- en afvalwatersystemen en de energiesector. Specifiek zijn Rockwell Automation en Allen-Bradley PLC's doelwit, waaronder CompactLogix en Micro850 apparaten.

De aanvallers gebruiken gehuurde infrastructuur van derden met configuratiesoftware zoals Rockwell Automation's Studio 5000 Logix Designer om verbinding te maken met de PLC's van slachtoffers. Na het verkrijgen van toegang installeren zij Dropbear, een Secure Shell (SSH) software, om via poort 22 op afstand toegang te krijgen en projectbestanden te extraheren en data op HMI- en SCADA-schermen te manipuleren.

Om deze dreiging tegen te gaan, adviseren de autoriteiten organisaties om PLC's niet direct aan het internet bloot te stellen, fysieke of softwarematige schakelaars te gebruiken om externe wijzigingen te voorkomen, multi-factor authenticatie (MFA) te implementeren, en firewalls of netwerkproxies voor PLC's te plaatsen om netwerktoegang te reguleren. Daarnaast is het belangrijk om PLC-apparaten up-to-date te houden, ongebruikte authenticatiefuncties uit te schakelen en het netwerkverkeer te monitoren op afwijkingen.

Dit is niet de eerste keer dat Iraanse dreigingsactoren zich richten op OT-netwerken en PLC's. Eind 2023 werd de groep Cyber Av3ngers in verband gebracht met aanvallen op Unitronics PLC's bij de gemeentelijke waterautoriteit van Aliquippa in Pennsylvania, waarbij minstens 75 apparaten werden gecompromitteerd. Volgens experts volgt Iran een bekend patroon waarbij zowel IT- als OT-infrastructuur steeds sneller en breder wordt aangevallen.

Deze ontwikkelingen vinden plaats te midden van een toename van distributed denial-of-service (DDoS) aanvallen en hack-en-lek operaties door cyberproxygroepen en hacktivisten die zich richten op westerse en Israëlische doelen. Onderzoek wijst uit dat verschillende groepen, waaronder Homeland Justice, Karma/KarmaBelow80 en Handala Hack, onderdeel zijn van een gecoördineerd cyberinvloednetwerk dat verbonden is aan Iran's Ministerie van Inlichtingen en Veiligheid (MOIS).