Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Хакери поврзани со Иран предизвикуваат нарушувања во критичната инфраструктура на САД преку таргетирање на PLC уреди достапни на интернет

Објавено: 08.04.2026

Кибер актери поврзани со Иран таргетираат оперативно-технолошки (OT) уреди изложени на интернет низ критичната инфраструктура во САД, вклучувајќи програмски логички контролери (PLC), предупредија во вторник американските агенции за сајбер-безбедност и разузнавање.

„Овие напади доведоа до намалена функционалност на PLC уредите, манипулација со податоци на екрани и, во некои случаи, оперативни нарушувања и финансиски загуби,“ соопшти Федералното биро за истраги (FBI) во објава на X.

Агенциите наведуваат дека кампањата е дел од неодамнешна ескалација на сајбер напади организирани од ирански хакерски групи против американски организации, како одговор на тековниот конфликт меѓу Иран и САД и Израел.

Конкретно, активноста довела до нарушувања на PLC уреди во повеќе сектори на критичната инфраструктура во САД преку, како што наведуваат агенциите, злонамерни интеракции со проектни датотеки и манипулација со податоци на HMI (human-machine interface) и SCADA системите.

Овие напади се насочени кон PLC уреди од Rockwell Automation и Allen-Bradley, кои се користат во владини услуги и објекти, системи за вода и отпадни води, како и во енергетскиот сектор.

„Напаѓачите користеле изнајмена инфраструктура од трети страни со конфигурациски софтвер, како што е Studio 5000 Logix Designer од Rockwell Automation, за да воспостават доверлива конекција со PLC уредите на жртвата,“ се наведува во предупредувањето. „Таргетираните уреди вклучуваат CompactLogix и Micro850 PLC.“

Откако ќе добијат почетен пристап, напаѓачите воспоставуваат командно-контролна комуникација преку инсталирање на Dropbear – софтвер за Secure Shell (SSH) – на компромитираните уреди. Ова им овозможува далечински пристап преку порт 22, како и извлекување на проектни датотеки и манипулација со податоците на HMI и SCADA системите.

За справување со заканата, организациите се советуваат:

  • да избегнуваат изложување на PLC уреди на интернет
  • да спречат далечински измени преку физички или софтверски механизми
  • да имплементираат мулти-факторска автентикација (MFA)
  • да користат firewall или мрежен прокси за контрола на пристапот
  • редовно да ги ажурираат PLC уредите
  • да ги оневозможат неискористените механизми за автентикација
  • да следат необичен мрежен сообраќај

Ова не е првпат ирански актери да таргетираат OT мрежи и PLC уреди. Кон крајот на 2023 година, групата Cyber Av3ngers (позната и како Hydro Kitten, Shahid Kaveh Group и UNC5691) беше поврзана со активна злоупотреба на Unitronics PLC уреди при напад врз општинската водоводна служба во Аликуипа, Пенсилванија, при што беа компромитирани најмалку 75 уреди.

„Ова предупредување го потврдува она што го следиме со месеци: ескалацијата на Иран во сајбер-просторот следи познат шаблон. Иранските актери сега делуваат побрзо, пошироко и ги таргетираат и IT и OT инфраструктурите,“ изјави Сергеј Шикевич од Check Point Research.

„Забележавме идентични модели на таргетирање на PLC уреди во Израел во март. Ова не е нова закана, туку забрзана,“ додаде тој.

Овој развој доаѓа во време на зголемен број DDoS напади и т.н. „hack-and-leak“ операции спроведени од прокси кибер групи и хактивисти, насочени кон западни и израелски организации, според Flashpoint.

Во извештај објавен оваа недела, DomainTools Investigations (DTI) ја опиша активноста поврзана со групите Homeland Justice, Karma/KarmaBelow80 и Handala Hack како „единствен, координиран сајбер-инфлуенс екосистем“, усогласен со иранското Министерство за разузнавање и безбедност (MOIS), наместо како одделни хактивистички групи.

„Овие идентитети функционираат како заменливи оперативни маски што се применуваат врз една конзистентна основна способност,“ наведува DTI. „Нивната цел не е да одразат организациска разделеност, туку да овозможат сегментација на пораки, таргетирање и атрибуција, додека се задржува континуитетот на инфраструктурата и техниките.“

Јавно достапните домени и Telegram каналите служат како главни центри за дистрибуција и засилување на пораките, при што оваа платформа игра и клучна улога во command-and-control (C2) операциите. Таа му овозможува на малициозниот софтвер да комуницира со ботови контролирани од напаѓачите, да ја намали потребата од дополнителна инфраструктура и да се вклопи во нормалниот сообраќај.

„Овој екосистем претставува државно насочен инструмент за сајбер-влијание, во кој техничките операции се тесно интегрирани со манипулација на наративи и медиумско засилување со цел постигнување на присилни и стратешки ефекти,“ додава DTI.

MuddyWater како партнер на CastleRAT

Овој развој доаѓа откако JUMPSEC ги опиша врските на групата MuddyWater со криминалниот сајбер-екосистем, наведувајќи дека овој ирански државно поддржан актер користи најмалку две верзии на CastleRAT во напади насочени кон Израел.

CastleRAT е тројанец за далечински пристап (RAT) кој е дел од рамката CastleLoader, поврзана (според Recorded Future) со група означена како GrayBravo (TAG-150).

Централна улога во овие операции има PowerShell скрипта („reset.ps1“) која инсталира претходно недокументиран малициозен софтвер базиран на JavaScript наречен ChainShell. Овој малвер потоа комуницира со паметен договор (smart contract) на Ethereum блокчејнот за да добие C2 адреса, преку која презема дополнителен JavaScript код за извршување на компромитираните системи.

Некои аспекти од овие врски помеѓу MOIS и сајбер-криминалниот екосистем беа истакнати и од Ctrl-Alt-Intel, Broadcom и Check Point, нагласувајќи дека зголемената соработка укажува на растечка зависност од готови („off-the-shelf“) алатки за поддршка на државните цели и отежнување на атрибуцијата.

Истиот PowerShell loader, исто така, е забележан како испорачува botnet малициозен софтвер познат како Tsundere (или Dindoor). Според JUMPSEC, и ChainShell и Tsundere се одделни компоненти на платформата TAG-150, кои се користат заедно со CastleRAT.

„Усвојувањето на руски криминален MaaS (Malware-as-a-Service) од страна на ирански државен актер има директни импликации за одбраната,“ наведува JUMPSEC во извештај споделен со The Hacker News. „Организациите таргетирани од MuddyWater, особено во секторите одбрана, воздухопловство, енергетика и влада, сега се соочуваат со закани кои комбинираат државно ниво на таргетирање со комерцијално развиени офанзивни алатки.“

Извори:

  • The Hacker News – Iran-Linked Hackers Disrupt U.S. Critical Infrastructure by Targeting Internet-Exposed PLCs The Hacker News