WASHINGTON — Amerikaanse inlichtingendiensten waarschuwen particuliere bedrijven in het hele land ‘dringend’ dat Iraanse actoren cyberoperaties uitvoeren die zich richten op kritieke Amerikaanse infrastructuur, een campagne die volgens een regeringsverklaring al voor ontwrichting heeft gezorgd.
De activiteit komt op het moment dat president Trump de infrastructuur van Iran bedreigde, met name de bruggen en energiecentrales.
De Iraanse aanval was gericht op producten van Allen-Bradley van Rockwell Automation, een van de meest gebruikte industriële automatiseringsmerken, volgens de aankondiging, die dinsdag voor het eerst werd gerapporteerd door The Times. Het advies zei dat cyberactoren die verbonden zijn met Iran “programmeerbare logische controllers in de Amerikaanse kritieke infrastructuur” exploiteerden.
De gerichte campagnes van Teheran tegen Amerikaanse organisaties “zijn onlangs geëscaleerd, waarschijnlijk als reactie op de vijandelijkheden tussen Iran, de VS en Israël”, aldus de verklaring.
Het advies werd dinsdag gezamenlijk uitgebracht door de FBI, Cybersecurity and Infrastructure Security Agency, National Security Agency, Environmental Protection Agency, Department of Energy en Cyber Command.
In haar eigen aankondiging waarschuwde de EPA dat de cyberaanvallen van Iran al ‘veelgebruikte operationele technologie in drinkwater- en afvalwatersystemen’ hadden verstoord en dat de federale overheid ‘er hard aan werkt om ervoor te zorgen dat Amerikanen kunnen vertrouwen op schoon en veilig water’.
“Cyberaanvallen op drinkwater- en afvalwatersystemen een directe bedreiging vormen voor de volksgezondheid en veerkracht van de gemeenschap”, zei Jeffrey A. Hall, EPA’s assistent-administrateur voor handhaving en naleving, in een verklaring. “Een enkele inbreuk kan de behandeling verstoren of verontreinigingen introduceren, apparatuur beschadigen en het vertrouwen van het publiek aantasten.”
Topbestuurders van bedrijven die cruciaal zijn voor het functioneren van het land – degenen die de grootste energie-, water-, transport- en communicatiebedrijven van Amerika runnen – hadden al beloofd hun waakzaamheid over mogelijke aanvallen te vergroten, omdat ze bang waren dat de bereidheid van Trump om zich te richten op de kritieke infrastructuur van Iran onbedoeld een stempel op hun rug zou drukken.
Sommigen zijn bang voor het vermogen van Iran om cyberoperaties uit te voeren die transformatoren of stroomomvormers zouden kunnen neerhalen, of zelfs een alomvattend energiesysteem. Anderen maken zich zorgen over de bedreigingen van fysieke locaties vanuit proxy’s naar Teheran – fysieke aanvallen op faciliteiten zoals kerncentrales of energiebeheersystemen, de kroonjuwelen van de sector.
Grotere, nog capabelere actoren, met name Rusland en China, kunnen ook profiteren van de oorlogsmist om zelf aanvallen te lanceren.
“Er blijven zorgen over de Iraanse cybercapaciteiten en vergeldingsmaatregelen als de VS doorgaat met bedreigingen om zijn infrastructuur aan te vallen”, zegt Ernest Moniz, voormalig minister van Energie van de VS onder president Obama, die hielp bij de onderhandelingen over het nucleaire akkoord van 2015 met Iran. “Misschien zitten er al backdoors, Trojaanse paarden en malware verborgen in onze infrastructuur.”
“Ik moet geloven dat de cyberexperts van de overheid – of wat er nog van over is – nauw samenwerken en zelfs overuren draaien met de nutsbedrijven en andere infrastructuurbeheerders op het gebied van cyberdefensie en inbraakdetectie en -waarschuwing”, voegde Moniz eraan toe.
Iran heeft eerder aangetoond dat het in staat is netwerken binnen te dringen die verbonden zijn met de kritieke Amerikaanse infrastructuur.
In 2015 steunde Iran hackers geraadpleegde gegevens die zijn gekoppeld met Calpine Corp., een van de grootste energieproducenten van Californië, voor het verkrijgen van gedetailleerde technische diagrammen en referenties met betrekking tot energiecentralesystemen. Sommigen werden bestempeld als “kritisch op de missie”. Amerikaanse functionarissen vreesden destijds dat de inbreuk Teheran in staat zou stellen stroomuitval in het hele land te veroorzaken.
Sindsdien hebben bedrijven in het centrum van de Amerikaanse energie- en telecommunicatiesector hun verdediging aanzienlijk verbeterd. Maar de offensieve capaciteiten van Iran zijn ook verbeterd.
Grote spelers in de energiesector opereren momenteel met “een waakzaam oog en een verhoogde houding”, zegt Pedro J. Pizarro, president en CEO van Edison International, het moederbedrijf van Edison in Zuid-Californië, een van de grootste elektriciteitsbedrijven van het land.
Bedrijven als Edison worden al meer dan tien jaar voortdurend bedreigd. In 2024 werden we een koppel verwoestende cyberspionageaanvallen Volt Typhoon en Salt Typhoon, gericht op de Amerikaanse kritieke infrastructuur toegeschreven aan Chinese hackers, werden ontdekt nadat ze de detectie gedurende ten minste drie jaar hadden ontweken.
De dreiging van een soortgelijke latente aanval – waarbij malware sluimert in kritieke infrastructuursystemen, wachtend op een signaal dat wordt geactiveerd – is een echte reden tot bezorgdheid in de sector, ondanks de inspanningen en technologische vooruitgang, zeggen experts en insiders.
“De dreiging van cyber- en fysieke aanvallen gericht op kritieke infrastructuur is niet nieuw”, zegt Jennifer DeCesaro, senior vice-president van Industry Operations bij het Edison Electric Institute, “daarom werken we samen met de overheid via de Electricity Subsector Coordinating Council om bruikbare informatie te delen en ons voor te bereiden op het reageren op incidenten die van invloed kunnen zijn op ons vermogen om elektriciteit veilig en betrouwbaar te leveren.”
De ESCC werkt nauw samen met de Nationale Veiligheidsraad en zijn inlichtingendiensten, met name de inlichtingendiensten en de Cybersecurity and Infrastructure Security Agency, of CISA, om regelmatige briefings over veiligheidsnormen, beste praktijken en inlichtingentips te coördineren.
De CIA weigerde commentaar te geven. Een woordvoerder van CISA, die afwezig was vanwege de aanhoudende federale bevriezing van de financiering van het ministerie van Binnenlandse Veiligheid, kon niet worden bereikt voor commentaar.
afgelopen zomer, kondigt een bezuiniging van 40 procent aan voor het personeel in haar kantoor heeft directeur van de Nationale Inlichtingendienst Tulsi Gabbard het Cyber Threat Intelligence Integration Center geëlimineerd, dat voorheen door partners uit de particuliere sector werd gezien als een cruciaal fusiecentrum voor informatie.
Trump heeft gedreigd alle bruggen en energiecentrales in Iran te vernietigen als het er niet in slaagt een akkoord te bereiken dat de controle over de Straat van Hormuz beëindigt.
Uiteindelijk dragen bedrijfsleiders een groot deel van de last als eerste verdedigingslinie voor de kritieke infrastructuur van het land, waarvan ongeveer 85% in handen is van bedrijven uit de particuliere sector.
Tom Fanning, voormalig CEO van Southern Co. en nu voorzitter van het uitvoerend comité van de Alliance for Critical Infrastructure, zei dat de dreiging vanuit Iran ‘geloofwaardig’ is.
“Ik heb nog niet gezien wat ik zou omschrijven als de existentiële dreiging van het neerhalen van een omvangrijk machtssysteem”, zei Fanning. “Kunnen die dingen worden aangezet? Ja, is de kritieke infrastructuur van Amerika klaar om in actie te komen? Ik denk het wel.”
Vorige maand, aan het begin van de oorlog, werd het openbaar vervoerssysteem van de Los Angeles Metro gedwongen een deel van zijn netwerk af te sluiten vanwege een hack. De autoriteiten zeggen dat het nog steeds onduidelijk is wie er achter de inbreuk zat, maar een bron vertelde The Times dat door Iran gesteunde hackers worden onderzocht als mogelijke daders.
Het transportbureau zei dat zijn beveiligingsteam “ongeautoriseerde activiteiten had gedetecteerd” en ervoor zorgde dat de ongeveer 1.400 servers veilig waren voordat ze weer online werden gebracht. Het bureau heeft benadrukt dat de hack geen invloed heeft gehad op de reistijd van passagiers.
De FBI zei op de hoogte te zijn van de hack. Homeland Security werkt samen met lokale partners “om cyberdreigingen voor kritieke infrastructuur aan te pakken”, aldus een functionaris.
“De realiteit is dat de bedreigingen hier en nu zijn”, voegde Fanning eraan toe. “De waarheid is dat de slechteriken er al zijn.”
Schrijvers van de Times, Kevin Rector, Richard Winton en Rebecca Ellis in Los Angeles, hebben bijgedragen aan dit rapport.
