米国政府は、親ロシア派のハクティビストが、重要インフラの運用を妨害するために、安全が確保されていない運用技術(OT)システムを探し出し、ハッキングしていると警告している。
この共同勧告は、CISA、FBI、NSA、EPA、DOE、USDA、FDAを含む6つの米国政府機関、およびMulti-State Information Sharing and Analysis Center(MS-ISAC)、カナダのCentre for Cyber Security(CCCS)、英国のNational Cyber Security Centre(NCSC-UK)から出されている。
OT機器は、製造業、重要インフラ、その他の産業における物理的なプロセスや活動を監視・制御するために使用されるハードウェアとソフトウェアのプラットフォームの組み合わせである。例えば、浄水場では、水の処理、配水、圧力を管理し、継続的で安全な水の供給を行うためにOT機器を使用している。
米国政府は本日発表した勧告の中で、親ロシア派のハクティビストが2022年以降、安全でない、誤った設定のOT機器を標的にし、業務を妨害したり、”迷惑効果 “をもたらしたりしていると警告している。
「これらのセクターに対する親ロシアのハクティビストの活動は、ほとんどがICS機器を操作して迷惑な効果を生み出す素朴な技術に限られているようだ。
「しかし、調査により、これらの行為者は、安全でない、誤った設定のOT環境に対して物理的な脅威を与える技術を持つことが確認されている。
政府は、多くの攻撃は誇張されすぎていると言うが、2024年の最近の攻撃の中には、もう少し混乱につながるものもあった。
ロシアのサイバー軍として知られる親ロシア派のハクティビスト集団が、テキサス州とインディアナ州の浄水場と処理場、ポーランドとフランスの水道インフラへの攻撃の背後にいると主張している。
テキサス州の浄水施設では、攻撃によってタンクがオーバーフローしたことが確認されたが、インディアナ州の廃水処理施設では、標的にはされたが侵入はされなかったとCNNは伝えている。
サイバー・アーミーやその他のグループはハクティビストであると主張しているが、最近のマンディアントの報告書では、このグループはAPT44として追跡され、ロシアの対外軍事情報機関である主情報総局(GRU)にリンクしている高度持続的脅威行為者であるサンドワーム・ハッカーにリンクしている。
OT機器への攻撃の緩和
この勧告では、政府機関は、これらのハクティビストが、主にVNCを利用して、さまざまな手法でOTデバイスを標的にしていることを確認していると警告している:
- VNCプロトコルを使用してヒューマン・マシン・インターフェース(HMI)にアクセスし、基盤となるOTに変更を加える。VNC は、OT システムを制御する HMI を含むグラフィカル・ユーザ・インタフェースへのリモート・アクセスに使用されます。
- VNCリモート・フレーム・バッファ・プロトコルを活用してHMIにログインし、OTシステムを制御する。
- VNC over Port 5900 を利用して、多要素認証で保護されていないアカウントのデフォルト認証情報や弱いパスワードを使用して HMI にアクセスする。
これらの攻撃から保護するために、勧告は、HMIをファイアウォールの背後に置くこと、VNCのインストールを強化すること、多要素認証を有効にすること、最新のセキュリティ更新プログラムを適用すること、デフォルトのパスワードを変更すること、IT環境の全体的なセキュリティ態勢を強化することなど、幅広い手順を提示している。
「NSAのサイバーセキュリティ担当ディレクターであるデイブ・ルーバー(Dave Luber)氏は、「今年、親ロシア派のハクティビストたちが、北米や欧州の脆弱な産業用制御システムまで標的を拡大していることが確認された。
「NSA は、重要インフラ組織の OT 管理者が、サイバーセキュリティ態勢を改善し、この種の標的に対するシステムの脆弱性を低減するために、本報告書に概説されている緩和策を実施すること、特にデフォルト・パスワードを変更することを強く推奨します。
Comments