An der Warnmeldung beteiligten sich neben der CISA auch das FBI, die National Security Agency (NSA), die Umweltbehörde EPA, das Energieministerium (DOE) sowie die Cyber National Mission Force (CNMF) des United States Cyber Command. Sie beschreiben, wie die iranisch verbundenen Akteure über mehrere im Ausland gehostete IP-Adressen auf internetseitig erreichbare PLCs von Rockwell Automation/Allen-Bradley zugriffen.
„Die Akteure nutzten gemietete, von Dritten gehostete Infrastruktur mit Konfigurationssoftware wie Rockwell Automations Studio 5000 Logix Designer, um eine akzeptierte Verbindung zur PLC des Opfers herzustellen", erklärten die Behörden. Gezielt angegriffen wurden demnach unter anderem Geräte der Reihen CompactLogix und Micro850.
Der schädliche Datenverkehr lief über die Ports 44818, 2222, 102, 22 und 502 sowie über Port T0885 — letzterer deutet darauf hin, dass auch Geräte anderer Hersteller wie die Siemens-S7-PLC betroffen sein könnten. Zusätzlich installierten die Angreifer laut Meldung die SSH-Software Dropbear auf den Endpunkten der Opfer, um sich über Port 22 dauerhaften Fernzugriff zu verschaffen.
Die Behörden benannten die Verantwortlichen nicht ausdrücklich, verwiesen aber auf Ähnlichkeiten zu früheren PLC-Angriffen durch CyberAv3ngers (auch Shahid Kaveh Group), einen Akteur, der dem Cyber Electronic Command (CEC) der iranischen Revolutionsgarde IRGC zugerechnet wird. Im November 2023 kompromittierte diese Gruppe mindestens 75 in den USA betriebene Unitronics-PLCs mit HMI in mehreren Sektoren kritischer Infrastruktur, darunter Abwassersysteme.
Das Problem reicht über den aktuellen Konflikt hinaus, betont Gabrielle Hempel, Strategin für Sicherheitsbetrieb bei Exabeam. Die Exponierung von PLCs und anderen OT-Geräten gegenüber dem öffentlichen Internet beschäftige die Branche seit Jahren. „Wenn eine OT-Umgebung aus dem Internet erreichbar ist, ist das ein inhärenter Konstruktionsfehler und kein Problem auf Ebene von Nationalstaaten", sagte sie gegenüber Dark Reading.
Die CISA fordert Betreiber auf, PLCs aus der direkten Interneterreichbarkeit zu nehmen und sichere Gateways sowie Firewalls einzusetzen. Sicherheitsteams sollten verfügbare Protokolle auf verdächtigen Verkehr über die OT-typischen Ports 44818, 2222, 102 und 502 prüfen, insbesondere auf Verbindungen von ausländischen Hosting-Anbietern.
Die Meldung enthält zudem eine Reihe von Kompromittierungsindikatoren (IoCs), nach denen betroffene Organisationen in den entsprechenden Zeiträumen suchen sollten. Betreiber von Rockwell-Automation/Allen-Bradley-Geräten rät die Behörde, den physischen Betriebsartenschalter der Steuerung in die Stellung „Run" zu bringen. Wer einen Angriff vermutet, soll sich an die beteiligten Behörden und an Rockwell Automation wenden.
