Als Amerikaanse president Donald Trump dreigt met massale vernietiging van de Iraanse infrastructuur te midden van een escalerende oorlog, Iran nu lijkt het erop dat het wraak heeft genomen met zijn eigen vorm van infrastructuursabotage: een hackcampagne die industriële controlesystemen in de Verenigde Staten aanvalt, inclusief energie- en waterbedrijven, waarvan Amerikaanse instanties zeggen dat deze ontwrichtende en schadelijke gevolgen heeft.
In een gezamenlijk advies dinsdag gepubliceerd waarschuwde een groep Amerikaanse agentschappen, waaronder de FBI, de National Security Agency, het Department of Energy en de Cybersecurity and Infrastructure Security Agency, dat een groep hackers die verbonden zijn met de Iraanse regering zich had gericht op industriële controleapparatuur die werd gebruikt in een reeks kritieke infrastructuurdoelen, waaronder in de energiesector, water- en afvalwatervoorzieningen en niet-gespecificeerde ‘overheidsfaciliteiten’. Volgens het bureau hebben hackers zich gericht op Programmable Logic Controllers (PLC’s) – een type apparaat dat is ontworpen om digitale besturing van fysieke machines mogelijk te maken – op deze faciliteiten, waaronder die verkocht door het industriële technologiebedrijf Rockwell Automation, met het kennelijke doel hun systemen te saboteren.
Door deze PLC’s in gevaar te brengen, zo waarschuwt het advies, proberen hackers informatie op de displays van industriële besturingssystemen te wijzigen, wat in sommige scenario’s kan leiden tot systeemuitval, schade of zelfs gevaarlijke omstandigheden. “In sommige gevallen resulteerden deze activiteiten in operationele verstoringen en financiële verliezen”, aldus het rapport, hoewel het geen details gaf over de ernst van de gevolgen.
“Het is goed gedocumenteerd dat Iraanse actoren zich richten op industriële controlesystemen en deze zien als een kanaal voor het uitoefenen van druk”, zegt Rob Lee, medeoprichter en CEO van Dragos, een cyberbeveiligingsbedrijf dat zich richt op industriële controlesystemen. Hij zei dat zijn bedrijf heeft gereageerd op meerdere incidenten gericht op industriële systemen sinds de oorlog tegen Iran vorige maand begon. “We hebben gezien dat statelijke en niet-statelijke actoren in Iran reële risico’s met zich meebrengen en blijk geven van de bereidheid om de samenleving schade toe te brengen ten koste van dit systeem. Ik verwacht ten volle dat ze druk zullen blijven uitoefenen en zich zullen blijven richten op de locaties waartoe ze toegang hebben.”
Toen WIRED contact opnam met Rockwell Automation, antwoordde een woordvoerder van het bedrijf in een verklaring dat het “de veiligheid van zijn producten en oplossingen serieus neemt en nauw heeft gecoördineerd met overheidsinstanties in verband met” het advies van dinsdag, en wees op document het heeft gepubliceerd voor klanten over hoe ze hun PLC’s beter kunnen beveiligen.
Hoewel het advies geen specifieke groep noemt die verantwoordelijk is voor de hackcampagne, merkt het op dat de aanvallen vergelijkbaar zijn met die uitgevoerd door aan Iran gelieerde groepen. bekend als CyberAv3ngersof de Shahid Kaveh Group, gestart eind 2023. Het hackteam, vermoedelijk werkzaam voor de Iraanse Revolutionaire Garde, voerde de afgelopen jaren verschillende aanvalsgolven uit tegen Israëlische en Amerikaanse doelen, waaronder het verkrijgen van toegang tot meer dan honderd apparaten die werden verkocht door het technologiebedrijf Unitronics voor industriële controlesystemen en die het meest worden gebruikt in water- en afvalwatervoorzieningen.
In de hackcampagne heeft CyberAv3ngers de naam van het Unitronics-apparaat ingesteld op “Gaza” – een verwijzing naar Israëls invasie van de regio als vergelding voor Hamas-aanvallen op 7 oktober – en veranderde de weergave van het apparaat zodat een afbeelding van het CyberAv3ngers-logo werd weergegeven. Hoewel het begon als alleen maar vandalisme, vertelden industriële cyberbeveiligingsbedrijven die de aanval volgden, waaronder Dragos en Claroty, aan WIRED dat de hackers zo met de code van Unitronics-apparaten hadden geknoeid dat ze de waterleidingnetwerkdiensten van Israël naar Ierland naar faciliteiten in Pittsburgh, Pennsylvania, in de VS verstoorden.
“De Unitronics-aanval laat zien dat de IRGC inderdaad in staat is industriële controlesystemen te hacken”, zegt Grant Geyer, Chief Strategy Officer van Claroty. “Als je naar het draaiboek van de IRGC kijkt, weten ze dat ze niet kunnen concurreren op het traditionele militaire gebied. Dus proberen ze verstoring in het cyberdomein te veroorzaken door gebruik te maken van asymmetrische oorlogstechnieken.”
