米国 NSA、CISA、FBI他 イスラム革命防衛隊(IRGC)関連のサイバー犯罪者が、米国の上下水道システム施設を含む複数のセクターのPLCを悪用 (2024.12.18)
こんにちは、丸山満彦です。
まだまだ2024年の宿題があります...
もとは、2023年の警告で、2024年に更新したものですが、米国のNSA、CISA、FBI、環境保護省、イスラエルの国家サイバー局、カナダのサイバーセキュリティセンターが、共同で、イスラム革命防衛隊(IRGC)関連のサイバー犯罪者が、米国の上下水道システム施設を含む複数のセクターのPLCを悪用していると警告をしています...
標的はイスラエル製のPLC、HMIのようですので、日本ではあまり関係ないかもしれませんが、他社製と名乗っていても、実は元のシステムがイスラエル製で社名を変えて売られている可能性もあるので、念の為、といったところでしょうかね...
イラン政府はIT教育には力をいれているようです。おそらく優秀な人材は、革命防衛隊に採用されるのでしょうね...民間の人はWiondowsやオフィス製品を使っているようですが、政府は独自にカスタマイズしたLinuxなのでしょうかね...
● CISA
IRGC-Affiliated Cyber Actors Exploit PLCs in Multiple Sectors, Including US Water and Wastewater Systems Facilities | IRGC関連のサイバー犯罪者が、米国の上下水道システム施設を含む複数のセクターのPLCを悪用 |
Alert Code AA23-335A | 警告コード AA23-335A |
Actions to take today to mitigate malicious activity: | 悪質な活動を軽減するために今日実施すべき対策: |
Address operational technology connected insecurely to the internet. | インターネットに安全に接続されていない運用技術を対処する。 |
Implement multifactor authentication. | 多要素認証を導入する。 |
Use strong, unique passwords. | 強力で固有のパスワードを使用する。 |
Check PLCs for default or no passwords. | PLCにデフォルトまたはパスワードが設定されていないか確認する。 |
Summary | まとめ |
Note: This updated joint Cybersecurity Advisory reflects new investigative and analytic insights for network defenders on malicious cyber activities conducted by advanced persistent threat (APT) cyber actors affiliated with the Iranian Government’s Islamic Revolutionary Guard Corps (IRGC). This advisory includes recent and historically observed tactics, techniques, and procedures (TTPs) to help organizations protect their critical infrastructure systems against such activities. | 注:この更新された共同サイバーセキュリティ勧告は、イラン政府のイスラム革命防衛隊(IRGC)と関連のある高度持続的脅威(APT)のサイバー攻撃者による悪意のあるサイバー活動に関する、ネットワーク防御者向けの新たな調査および分析結果を反映している。この勧告には、このような活動から重要なインフラシステムを保護するために組織が役立てることができる、最近および過去に観測された戦術、技術、手順(TTP)が含まれている。 |
Originally published Dec. 1, 2023, updates to this advisory include: | 2023年12月1日に最初に発行されたこの勧告の更新内容は以下の通りである。 |
Dec. 18, 2024 | 2024年12月18日 |
・New information on the extent of the activity, including newly observed TTPs employed by IRGC-affiliated APT cyber actors targeting U.S. and global critical infrastructure. | ・米国および世界の重要インフラを標的とするIRGC関連APTサイバー攻撃者によって新たに観測されたTTP(Tactics, Techniques, and Procedures)を含む、活動の範囲に関する新たな情報。 |
・Mapping of these newly observed TTPs to additional MITRE ATT&CK® Tactics and Techniques. | ・新たに観測されたこれらのTTPを、追加のMITRE ATT&CK® Tactics and Techniquesにマッピング。 |
・New recommended mitigations that organizations should take to protect their infrastructure, based on the new TTPs. | ・新たなTTPに基づいて、組織がインフラを保護するために講じるべき新たな推奨緩和策。 |
The Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), the National Security Agency (NSA), the Environmental Protection Agency (EPA), the Israel National Cyber Directorate (INCD), the Canadian Centre for Cyber Security (CCCS), and the United Kingdom’s National Cyber Security Centre (NCSC)—hereafter referred to as “the authoring agencies”—are releasing this updated joint advisory to warn network defenders of continued malicious cyber activity by IRGC-affiliated APT cyber actors. This joint advisory provides TTPs obtained from extensive FBI investigation on this activity. | 連邦捜査局(FBI)、サイバーセキュリティ・インフラ保護機関(CISA)、国家安全保障局(NSA)、環境保護省(EPA)、イスラエル国家サイバー局(INCD)、カナダサイバーセキュリティセンター(CCCS 、および英国の国立サイバーセキュリティセンター(NCSC)は、以下「執筆機関」と表記する)は、IRGC関連のAPTサイバー攻撃者による悪意あるサイバー活動が継続していることをネットワーク防御者に警告するために、この更新された共同勧告を発表する。この共同勧告では、この活動に関するFBIの広範な調査から得られたTTP(戦術、技術、手順)が提供されている。 |
Background Information | 背景情報 |
The Iranian Government charged the IRGC, an armed force, with defending Iran’s revolutionary regime from perceived internal and external threats. The IRGC is designated as a foreign terrorist organization by the United States and Canada. In November 2023, IRGC-affiliated cyber actors using the persona “CyberAv3ngers” began actively targeting and compromising Israeli-made Unitronics Vision Series programmable logic controllers (PLCs) and human machine interfaces (HMIs). The IRGC-affiliated cyber actors left a defacement image stating, “You have been hacked, down with Israel. Every equipment ‘made in Israel’ is CyberAv3ngers legal target.” The victims spanned multiple U.S. states and foreign countries. These PLCs are commonly used in the Water and Wastewater Systems (WWS) Sector and used in other industries including, but not limited to, energy, food and beverage manufacturing, transportation systems, and healthcare. The PLCs may be rebranded and appear as originating from different manufacturers and companies. | イラン政府は、イラン革命体制を認識された内外の脅威から守ることを目的として、武装組織である革命防衛隊(IRGC)を設立した。IRGCは、米国およびカナダによって外国テロ組織に指定されている。2023年11月、「CyberAv3ngers」という偽名を使用するIRGC関連のサイバー犯罪者集団が、イスラエル製のUnitronics Vision Seriesプログラマブルロジックコントローラ(PLC)およびヒューマンマシンインターフェース(HMI)を標的にし、侵害を積極的に開始した。IRGCと関連のあるサイバー犯罪者は、「You have been hacked, down with Israel. Every equipment ‘made in Israel’ is CyberAv3ngers legal target.(ハッキングされたな、イスラエル万歳。イスラエル製」の機器はすべてCyberAv3ngersの合法的な標的だ)」という改ざん画像を残した。被害は米国の複数の州および海外に及んだ。これらのPLCは、上下水道システム(WWS)部門で一般的に使用されており、エネルギー、食品および飲料製造、輸送システム、医療など、その他の産業でも使用されている。PLCはリブランディングされ、別のメーカーや企業が製造したものとして出回る可能性がある。 |
Complementing a previously published CISA Alert, the authoring agencies are releasing this updated joint advisory to share TTPs associated with IRGC cyber operations. The authoring agencies urge all organizations, especially those within critical infrastructure sectors, to apply the recommendations listed in the Mitigations section of this advisory to reduce the risk of compromise from these IRGC-affiliated cyber actors. | 以前に発表されたCISAアラートを補完する形で、作成機関はIRGCのサイバー作戦に関連するTTPを共有するために、この更新された共同勧告を発表している。作成機関は、すべての組織、特に重要インフラセクター内の組織に対して、この勧告の「緩和策」セクションに記載されている推奨事項を適用し、これらのIRGC関連のサイバー攻撃者による侵害のリスクを軽減するよう強く求めている。 |
Overview of Updated Information | 更新情報の概要 |
This advisory provides observed TTPs the authoring agencies assess are likely associated with this IRGC-affiliated APT. The late 2023 campaign conducted by CyberAv3ngers compromised additional Unitronics version types, including older PLC models, than were previously outlined. The IRGC-affiliated APT cyber actors also developed custom ladder logic files to download for each of these device types. Previously unreported TTPs also outline how the actors supplanted existing ladder logic files with their own, renamed devices likely to forestall owner access, reset software versions to older versions, disabled upload and download functions, and changed the default port numbers. With this type of access, deeper device and network level accesses are available and could render additional, more profound cyber-physical effects on processes and equipment. Additionally, the NCSC observed the targeting of PLC devices, including in the United Kingdom, likely as part of a wider cyber campaign against Israel and Israeli-made technology. This targeting of PLCs poses an ongoing risk to UK organizations that utilize these components in their operational technology (OT) systems. For more information on Iranian state-sponsored malicious cyber activity, see CISA’s Iran Cyber Threat Overview and Advisories webpage and the FBI’s Iran Threat webpag. | 本勧告では、作成機関が観測したTTP(ツール、テクニック、手順)を提示し、それらがIRGC関連APTグループと関連している可能性が高いと評価している。CyberAv3ngersが2023年後半に実施したキャンペーンでは、以前に概要が説明されたものよりも古いPLCモデルを含む、追加のUnitronicsのバージョンタイプが侵害された。IRGC関連APTグループのサイバー犯罪者も、これらのデバイスタイプごとにダウンロードするためのカスタムラダーロジックファイルを開発した。また、これまで報告されていなかったTTP(攻撃手法)では、攻撃者が既存のラダーロジックファイルを独自のファイルに差し替え、デバイスの名称を変更して所有者のアクセスを阻止し、ソフトウェアのバージョンを古いバージョンにリセットし、アップロードおよびダウンロード機能を無効にし、デフォルトのポート番号を変更した可能性についても説明している。この種のアクセスがあれば、より深いデバイスおよびネットワークレベルのアクセスが可能となり、プロセスや機器にさらに深刻なサイバーフィジカルな影響を与える可能性がある。さらに、NCSCは、PLCデバイスが標的とされていることを確認しており、その中には英国も含まれている。これは、イスラエルおよびイスラエル製技術に対するより広範なサイバーキャンペーンの一環である可能性が高い。PLCが標的とされていることは、運用技術(OT)システムでこれらのコンポーネントを利用している英国の組織にとって、継続的なリスクとなる。イラン政府が支援する悪意のあるサイバー活動の詳細については、CISAの「Iran Cyber Threat Overview and Advisories」ウェブページおよびFBIの「Iran Threat」ウェブページを参照のこと。 |
Download the PDF version of this report: | このレポートのPDF版をダウンロードする: |
AA23-335A IRGC-Affiliated Cyber Actors Exploit PLCs in Multiple Sectors, Including US Water and Wastewater Systems Facilities (DEC 2024)(PDF, 716.26 KB ) | AA23-335A IRGC(革命防衛隊)関連のサイバー犯罪者、米国の上下水道施設を含む複数のセクターのPLCを悪用(2024年12月)(PDF、716.26 KB) |
AA23-335A IRGC-Affiliated Cyber Actors Exploit PLCs in Multiple Sectors, Including U.S. Water and Wastewater Systems Facilities (DEC 2023)(PDF, 594.03 KB ) | AA23-335A IRGC(革命防衛隊)と関連のあるサイバー犯罪者が、米国の上下水道施設を含む複数のセクターのPLCを悪用(2023年12月)(PDF、594.03 KB) |
For a downloadable copy of the indicators of compromise (IOCs), see: | 侵害の指標(IOC)のダウンロード可能なコピーについては、以下を参照のこと。 |
AA23-335A STIX XML (DEC 2023)(XML, 15.50 KB ) | AA23-335A STIX XML (2023年12月)(XML, 15.50 KB ) |
AA23-335A STIX JSON (DEC 2023)(JSON, 10.84 KB ) | AA23-335A STIX JSON (2023年12月)(JSON, 10.84 KB ) |
Note: These IOCs are from the original joint advisory published Dec. 1, 2023, and are not current. | 注:これらのIOCは、2023年12月1日に発表された当初の共同勧告によるものであり、最新のものではない。 |
・[PDF]
イランの脅威について...
● FBI - The Iran Threat
● CISA - Iran Cyber Threat Overview and Advisories
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.10.23 米国 FBI CISA 公共サービスに関する発表を行い、2024年の米国総選挙における偽情報の拡散を目的とした外国の脅威行為者の戦術について警告
・2024.10.18 米国 CISA 米国の民主的機関を弱体化させるイラン支援のサイバー活動を警告と対処法 (2024.10.08)
・2024.09.30 米国 英国 イラン国家のために活動するサイバー行為者について警告をし、大統領選を妨害しようとするイラン政権に関係する活動家を起訴+財産の封鎖
・2024.03.14 米国 インテリジェンス・コミュニティによる2024年の脅威評価
・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。
« 米国 ホワイトハウス バイデン=ハリス政権は、米国のサプライチェーン強化に向けた進展を遂げている (2024.12.19) | Main | イタリア データ保護庁 ラジオ、テレビ、新聞、インターネット上で6か月間の組織的な広報キャンペーンと15百万ユーロ(23億円強)の罰金を命じる »
Comments