Федеральное бюро расследований (ФБР), Агентство кибербезопасности и защиты инфраструктуры (CISA), Агентство национальной безопасности (АНБ), Агентство по охране окружающей среды (EPA) и Национальное киберуправление Израиля (INCD) - далее именуемые "авторские агентства" - распространяют это совместное информационное сообщение по кибербезопасности (CSA), чтобы обратить внимание на продолжающуюся злонамеренную киберактивность против оперативных технологических устройств со стороны связанных с правительством Ирана Корпуса стражей исламской революции (IRGC) киберакторов, создающих перспективные постоянные угрозы (APT).
IRGC - это иранская военная организация, которую Соединенные Штаты в 2019 году включили в список иностранных террористических организаций. Связанные с IRGC кибертеррористы под ником "CyberAv3ngers" активно атакуют и компрометируют программируемые логические контроллеры (ПЛК) израильского производства Unitronics Vision Series. Эти ПЛК обычно используются в секторе систем водоснабжения и водоотведения (WWS), а также в других отраслях, включая, в частности, энергетику, производство продуктов питания и напитков и здравоохранение. ПЛК могут подвергаться ребрендингу и представляться различными производителями и компаниями.
По крайней мере, с 22 ноября 2023 года эти кибер-актеры, связанные с IRGC, продолжают компрометировать учетные данные по умолчанию в устройствах Unitronics. Связанные с КСИР кибер-актеры оставили изображение, на котором были нанесены повреждения. Жертвами злоумышленников стали жители нескольких штатов США. Авторские агентства призывают все организации, особенно организации критической инфраструктуры, применять рекомендации, перечисленные в разделе "Меры по снижению риска" данного руководства, чтобы снизить риск компрометации со стороны этих киберов, связанных с IRGC.
Indicators of Compromise
IPv4
- 178.162.227.180
- 185.162.235.206
MD5
- ba284a4b508a7abd8070a427386e93e0
SHA1
- 66ae21571faee1e258549078144325dc9dd60303
SHA256
- 440b5385d3838e3f6bc21220caa83b65cd5f3618daea676f271c3671650ce9a3
