Als Amerikaanse president Donald Trump dreigende grootschalige sloop van de Iraanse infrastructuur te midden van een escalerende oorlog, Iran lijkt nu al wraak te hebben genomen met zijn eigen vorm van infrastructuursabotage: een hackcampagne die industriële controlesystemen in de VS treft, inclusief energie- en waterbedrijven, waarvan Amerikaanse instanties zeggen dat deze ontwrichtende en kostbare gevolgen heeft gehad.
In één gezamenlijk advies Dinsdag publiceerde een groep Amerikaanse agentschappen, waaronder de FBI, de National Security Agency, het Department of Energy en de Cybersecurity and Infrastructure Security Agency, waarschuwde dat een groep hackers verbonden aan de Iraanse regering zich heeft gericht op industriële controleapparatuur die wordt gebruikt in een aantal kritieke infrastructuurdoelen, waaronder in de energiesector, de water- en afvalwatervoorziening en niet-gespecificeerde ‘overheidsfaciliteiten’. Volgens de agentschappen richtten de hackers zich op Programmable Logic Controllers (PLC’s) – een soort apparaat dat is ontworpen om digitale besturing van fysieke machines mogelijk te maken – in die faciliteiten, waaronder die verkocht door het industriële technologiebedrijf Rockwell Automation, met de kennelijke bedoeling hun systemen te saboteren.
Door deze PLC’s te compromitteren, zo waarschuwt het advies, probeerden de hackers informatie op de schermen van industriële besturingssystemen te wijzigen, wat in sommige scenario’s systeemuitval, schade of zelfs gevaarlijke omstandigheden zou kunnen veroorzaken. “In een paar gevallen heeft deze activiteit geresulteerd in operationele verstoringen en financiële verliezen”, luidt het, hoewel er geen details worden gegeven over de ernst van deze effecten.
“Het is goed gedocumenteerd dat Iraanse actoren zich richten op industriële controlesystemen en deze zien als een knooppunt om druk uit te oefenen”, zegt Rob Lee, medeoprichter en CEO van Dragos, een cyberbeveiligingsbedrijf dat zich richt op industriële controlesystemen. Hij zegt dat zijn bedrijf heeft gereageerd op verschillende incidenten gericht op industriële systemen sinds het begin van de oorlog met Iran vorige maand. “We hebben gezien dat zowel statelijke als niet-statelijke actoren in Iran een reëel risico vormen en de bereidheid tonen om mensen pijn te doen door deze systemen in gevaar te brengen. Ik verwacht van hen dat ze de druk zullen blijven uitoefenen en zich zullen richten op de sites waartoe ze toegang hebben.”
Toen WIRED contact opnam met Rockwell Automation, reageerde een woordvoerder van het bedrijf in een verklaring dat het “de veiligheid van zijn producten en oplossingen serieus neemt en nauw heeft samengewerkt met de overheidsinstanties met betrekking tot” het advies van dinsdag, wijzend op documenten het heeft gepubliceerd voor klanten over hoe ze hun PLC’s beter kunnen beveiligen.
Hoewel in de aankondiging niet wordt gespecificeerd welke specifieke groep verantwoordelijk is voor de hackcampagne, wordt er wel op gewezen dat de aanvallen vergelijkbaar zijn met die van de aan Iran gelieerde groep. bekend als CyberAv3ngersof de Shahid Kaveh-groep die eind 2023 begon. Het team van hackers, vermoedelijk werkzaam in de Iraanse Revolutionaire Garde, voerde de afgelopen jaren verschillende aanvalsgolven uit tegen Israëlische en Amerikaanse doelen, waaronder het verkrijgen van toegang tot meer dan honderd apparaten die werden verkocht door het technologiebedrijf Unitronics voor industriële controlesystemen en die het meest worden gebruikt in water.
In deze hackcampagne heeft CyberAv3ngers de namen van de Unitronics-apparaten ingesteld op ‘Gaza’ – verwijzend naar de Israëlische invasie van het gebied als vergelding voor de aanval van Hamas op 7 oktober – en de schermen van de apparaten gewijzigd zodat een afbeelding van het CyberAv3ngers-logo werd weergegeven. Ondanks de aanvankelijke schijn van puur vandalisme, vertelden industriële cyberbeveiligingsbedrijven die de aanvallen volgden, waaronder Dragos en Claroty, aan WIRED dat de hackers de code van Unitronics-apparaten diep genoeg hadden gecorrumpeerd om de diensten in watervoorzieningsnetwerken van Israël tot Ierland en een faciliteit in Pittsburgh, Pennsylvania in de Verenigde Staten te verstoren.
“De Unitronics-aanvallen hebben aangetoond dat de IRGC over de mogelijkheden beschikt om industriële controlesystemen te hacken”, zegt Grant Geyer, Chief Strategy Officer van Claroty. “Als je naar het speelboek van de IRGC kijkt, weten ze dat ze niet kunnen concurreren op het traditionele militaire gebied. Daarom proberen ze verstoring te veroorzaken in het cyberdomein met behulp van asymmetrische oorlogstechnieken.”
