Im gemeinsamen Hinweis beschreiben die Behörden, dass das FBI eine Gruppe iranisch verbundener APT-Akteure dabei beobachtet hat, wie diese gezielt internetexponierte PLCs ins Visier nimmt. Ziel sei es, Störungen bei Organisationen der US-Kritis hervorzurufen, unter anderem durch böswilliges Eingreifen in Projektdateien sowie die Manipulation der auf HMI- und SCADA-Anzeigen dargestellten Daten.

Konkret stellte das FBI fest, dass die Aktivitäten bereits zur Extraktion der Projektdatei eines Geräts und zur Datenmanipulation auf HMI- und SCADA-Anzeigen geführt haben. Die betroffenen Steuerungen stammen von Rockwell beziehungsweise Allen-Bradley.

Die Behörden ziehen eine Parallele zu einem früheren Hinweis aus dem November 2023: Damals wurde gewarnt, dass die Gruppe CyberAv3ngers, die dem iranischen Korps der Islamischen Revolutionsgarden (IRGC) zugeordnet wird, Schwachstellen in US-amerikanischen Unitronics-OT-Systemen ausnutzte. Zwischen November 2023 und Januar 2024 kompromittierten die CyberAv3ngers-Hacker in mehreren Angriffswellen mindestens 75 Unitronics-PLC-Geräte – die Hälfte davon in Netzwerken der Wasser- und Abwasserwirtschaft.

Zur Abwehr empfehlen die Behörden, PLCs vom Internet zu trennen oder über eine Firewall abzusichern. Zudem sollten Protokolle auf die im Hinweis veröffentlichten Kompromittierungsindikatoren durchsucht und der Datenverkehr auf OT-Ports überprüft werden – insbesondere Verbindungen, die von ausländischen Hosting-Anbietern ausgehen.

Darüber hinaus raten die Behörden zur Einführung einer Mehrfaktor-Authentifizierung (MFA) für den Zugang zum OT-Netzwerk, zum Einspielen der jeweils aktuellen Firmware auf den PLCs, zur Deaktivierung aller ungenutzten Dienste und Authentifizierungsmethoden (etwa voreingestellter Authentifizierungsschlüssel) sowie zur Überwachung des Netzwerkverkehrs auf verdächtige Aktivitäten.

In jüngerer Zeit löschte die iranisch verbundene, pro-palästinensische Hacktivisten-Gruppe Handala rund 80.000 Geräte im Netzwerk des US-Medizintechnikkonzerns Stryker, darunter Mobilgeräte von Mitarbeitern und vom Unternehmen verwaltete PCs. Das FBI warnte außerdem, dass iranische Hacker mit Verbindungen zum dortigen Ministerium für Nachrichtenwesen und Sicherheit (MOIS) Telegram für Malware-Angriffe nutzen.