ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), İranlı tehdit aktörlerine atfedilen saldırı faaliyetlerini gördükten sonra, popüler programlanabilir mantık denetleyicisinin (PLC) kullanıcılarını, birimlerinin güvenliğini kontrol etmeleri konusunda uyarıyor.
CISA, İran hükümetinin İslam Devrim Muhafızları Birliği’ne (IRGC) bağlı aktörlerin, Unitronix PLC’lerdeki varsayılan yönetici şifresi olan “1111”i kullanarak, birimlerin varsayılan TCP bağlantı noktası 20256 üzerinden saldırılar gerçekleştirdiğini tespit etti.
Gözlemlenen faaliyetlerin çoğu, hedef birimlerin İsrail karşıtı mesajlarla tahrif edilmesini içeriyordu; ancak CISA, daha ciddi bir uzlaşmanın gerçekleşmiş olabileceğini söyledi.
Ajansın danışma belgesinde, saldırıların insan makine arayüzlerine (HMI) sahip Unitronix Vision serisi PLC’leri hedef aldığı belirtildi.
Kampanya, saldırganların İsrail’deki hedefleri tehlikeye attıkları için kredi talep etmek amacıyla bir Telegram kanalını kullandığı Ekim ayında başladı; ve en azından 22 Kasım’dan bu yana dikkatlerini “ABD’nin birden fazla eyaletindeki” hedeflere çevirdiler.
En son danışma belgesinden birkaç gün önce CISA, PLC saldırılarına karşı bu uyarıyı yayınladı.
Rapor, ABD’deki bir belediyenin, PLC’nin tehlikeye atılmasının ardından bazı su tesislerini manuel olarak çalıştırmaya geri döndüğünü belirtti.
CISA, savunmasız sistemlerdeki tüm şifrelerin değiştirilmesinin yanı sıra, tüm operasyonel teknolojilerde çok faktörlü kimlik doğrulamanın uygulanmasını önerdi.
CISA, PLC’lerin internete açık olması gereken yerlerde güvenlik duvarlarının arkasında olması gerektiğini ve kullanıcıların bunlara erişmesine izin verilen IP adreslerinin bir listesini uygulamayı düşünmeleri gerektiğini söyledi.