WASHINGTON — Amerikaanse inlichtingendiensten hebben bedrijven uit de particuliere sector in het hele land “onmiddellijk gewaarschuwd” dat Iraanse actoren cyberoperaties uitvoerden gericht op de kritieke Amerikaanse infrastructuur, een campagne die volgens een overheidsmededeling voor ontwrichting heeft gezorgd.
Deze activiteit vond plaats toen president Trump de infrastructuur van Iran bedreigde, met name bruggen en energiecentrales.
De Iraanse aanval was gericht op Allen-Bradley-producten van Rockwell Automation, een van de meest gebruikte industriële automatiseringsmerken, volgens het bericht dat dinsdag voor het eerst werd gerapporteerd door The Times. Het advies zei dat aan Iran gelieerde cyberactoren “programmeerbare logische controllers in de Amerikaanse kritieke infrastructuur” exploiteerden.
De doelgerichte campagne van Teheran tegen Amerikaanse organisaties “is recentelijk toegenomen, waarschijnlijk als reactie op de vijandelijkheden tussen Iran, de Verenigde Staten en Israël”, aldus de mededeling.
De waarschuwing werd dinsdag gezamenlijk uitgegeven door de FBI, de Cybersecurity and Infrastructure Security Agency, de National Security Agency, de Environmental Protection Agency, het Department of Energy en Cyber Command.
In haar mededeling waarschuwde de EPA dat de Iraanse cyberaanval ‘operationele technologieën die vaak worden gebruikt in drinkwater- en afvalwatersystemen’ had verstoord en dat de federale overheid ‘ijverig werkte om ervoor te zorgen dat het Amerikaanse publiek kan vertrouwen op schoon en veilig water’.
“Cyberaanvallen op drinkwater- en afvalwatersystemen een directe bedreiging vormen voor de volksgezondheid en veerkracht van de gemeenschap”, zegt Jeffrey A. Hall, EPA-adjunct-administrateur voor handhaving en nalevingsgarantie, in een verklaring. “Een enkele overtreding kan de behandeling verstoren of verontreinigingen introduceren, apparatuur beschadigen en het vertrouwen van het publiek aantasten.”
Topbestuurders van bedrijven die van cruciaal belang zijn voor het functioneren van het land – degenen die leiding geven aan Amerika’s grootste energie-, water-, transport- en communicatiebedrijven – hebben actie ondernomen om hun alertheid voor mogelijke aanvallen te vergroten, uit angst dat de bereidheid van Trump om de kritieke infrastructuur van Iran aan te vallen hen onbedoeld schade heeft berokkend.
Sommigen maken zich zorgen over het vermogen van Iran om cyberoperaties uit te voeren die elektrische transformatoren of omvormers, of zelfs grootschalige elektrische energiesystemen, zouden kunnen vernietigen. Anderen maken zich zorgen over bedreigingen van fysieke locaties door de proxy’s van Teheran – fysieke aanvallen op faciliteiten zoals kerncentrales of energiebeheersystemen, die belangrijke troeven van de sector zijn.
Grotere en zelfs capabelere actoren, met name Rusland en China, zouden de oorlogsmist ook kunnen uitbuiten om hun eigen aanvallen te lanceren.
“Er zijn nog steeds zorgen over de cybercapaciteiten en vergeldingsmaatregelen van Iran als de VS blijven dreigen hun infrastructuur aan te vallen”, zegt Ernest Moniz, een voormalige Amerikaanse minister van Energie onder president Obama die hielp bij de onderhandelingen over het nucleaire akkoord van 2015 met Iran. “Misschien zitten er al backdoors, Trojaanse paarden en malware verborgen in onze infrastructuur.”
“Ik moet geloven dat cyberexperts van de overheid – of wat er van hen over is – nauw en zelfs overuren werken met energiebedrijven en andere infrastructuurbeheerders op het gebied van cyberverdediging en inbraakdetectie en -waarschuwing”, voegde Moniz eraan toe.
Iran heeft al eerder aangetoond dat het in staat is netwerken binnen te dringen die verband houden met kritieke Amerikaanse infrastructuur.
In 2015 steunden Iran-hackers toegang krijgen tot gerelateerde gegevens met Calpine Corp., een van de grootste energieproducenten van Californië, voor het verkrijgen van gedetailleerde technische diagrammen en referenties met betrekking tot het energieopwekkingssysteem. Sommigen van hen worden als ‘mission critical’ bestempeld. Amerikaanse functionarissen vreesden destijds dat de inbreuk Teheran in staat zou stellen een landelijke stroomstoring te veroorzaken.
Sindsdien hebben bedrijven in het hart van de Amerikaanse energie- en telecommunicatiesector hun verdediging aanzienlijk vergroot. Maar de offensieve capaciteiten van Iran nemen ook toe.
De grote spelers in de energiesector van vandaag opereren met “scherper toezicht en een betere houding”, zegt Pedro J. Pizarro, president en CEO van Edison International, het moederbedrijf van Edison in Zuid-Californië, een van de grootste elektriciteitsbedrijven in de VS.
Bedrijven als Edison opereren al meer dan tien jaar onder constante dreiging. In 2024 een paar verwoestende cyberspionageaanval gericht op kritieke Amerikaanse infrastructuur die verband houdt met de Chinese hackers Volt Typhoon en Salt Typhoon, ontdekt nadat ze minstens drie jaar lang detectie hadden ontweken.
De dreiging van soortgelijke latente aanvallen – waarbij malware sluimert in kritieke infrastructuursystemen, wachtend op een signaal om te activeren – is een echte reden tot bezorgdheid in de sector, ondanks inspanningen en technologische vooruitgang, zeggen experts en insiders.
“De dreiging van cyber- en fysieke aanvallen gericht op kritieke infrastructuur is niets nieuws”, zegt Jennifer DeCesaro, senior vice-president van industriële activiteiten bij het Edison Electric Institute, “en daarom werken we samen met de overheid via de Electricity Subsector Coordinating Council om bruikbare informatie te delen en ons voor te bereiden op het reageren op incidenten die van invloed kunnen zijn op ons vermogen om veilig en betrouwbaar elektriciteit te leveren.”
ESCC werkt nauw samen met de Nationale Veiligheidsraad en zijn inlichtingendiensten, met name inlichtingendiensten en de Cybersecurity and Infrastructure Security Agency, of CISA, om regelmatige briefings over veiligheidsnormen, beste praktijken en inlichtingentips te coördineren.
De CIA weigerde commentaar te geven. Een woordvoerder van CISA, die niet langer in functie is vanwege een pauze in de federale financiering van het ministerie van Binnenlandse Veiligheid, kon niet worden bereikt voor commentaar.
Afgelopen zomer, kondigde een bezuiniging van 40% aan. Voor het personeelsbestand van haar kantoor heeft directeur van de Nationale Inlichtingendienst Tulsi Gabbard het Cyber Threat Intelligence Integration Center geëlimineerd, dat voorheen door partners uit de particuliere sector werd gezien als een cruciaal informatiefusiecentrum.
Trump dreigde elke brug en elektriciteitscentrale in Iran te vernietigen als Iran er niet in zou slagen een deal te bereiken die een einde maakte aan de Iraanse controle over de Straat van Hormuz.
Uiteindelijk dragen bedrijfsleiders een groot deel van de lasten als eerste verdedigingslinie voor de kritieke infrastructuur van het land, die voor ongeveer 85% in handen is van bedrijven uit de particuliere sector.
Tom Fanning, voormalig CEO van Southern Co. en nu voorzitter van het uitvoerend comité van de Alliance for Critical Infrastructure, zei dat de bedreigingen vanuit Iran “geloofwaardig” waren.
“Ik heb nog niet gezien wat ik zou omschrijven als een reële dreiging, die een groot elektriciteitssysteem zou vernietigen”, zei Fanning. “Kunnen die dingen worden aangezet? Absoluut. Is de kritieke infrastructuur van de Verenigde Staten klaar om in actie te komen? Ik denk het wel.”
Vorige maand, aan het begin van de oorlog, werd het openbaar vervoerssysteem van de metro van Los Angeles gedwongen delen van zijn netwerk af te sluiten vanwege hacking. De autoriteiten zeiden dat het nog steeds onduidelijk was wie er achter de inbreuk zat, maar een bron vertelde The Times dat door Iran gesteunde hackers werden onderzocht als potentiële daders.
Het transportbureau zei dat zijn beveiligingsteam ‘ongeautoriseerde activiteiten had ontdekt’ en ervoor had gezorgd dat de ongeveer 1.400 servers veilig waren voordat ze weer online werden gebracht. Het bureau benadrukte dat de hack geen invloed heeft op de reistijden van passagiers.
De FBI zei op de hoogte te zijn van de hack. Homeland Security werkt samen met lokale partners “om cyberdreigingen voor kritieke infrastructuur aan te pakken”, aldus een functionaris.
“De realiteit is dat de dreiging hier en nu is”, voegde Fanning eraan toe. ‘Eigenlijk zijn de slechteriken er al.’
Schrijvers van de Times, Kevin Rector, Richard Winton en Rebecca Ellis, in Los Angeles, hebben bijgedragen aan dit rapport.
