Інфраструктура США під загрозою від можливих кібернападів з Ірану

1 липня 2025 року – Федеральні агентства з кібербезпеки оприлюднили спільне попередження про те, що загрози, пов’язані з Іраном, активно намагаються атакувати промислові системи управління (ICS) у Сполучених Штатах. Ці атаки, ймовірно, є відповіддю на нещодавні військові операції США та Ізраїлю, і в основному спрямовані на водо- та стічні споруди, греблі та інші елементи національної критичної інфраструктури.

Передумови: Геополітичні фактори та історичний контекст

Після загострення напруженості на Близькому Сході, кіберпідрозділи Корпусу вартових ісламської революції (IRGC) Ірану продемонстрували зростаючу здатність до проникнення та порушення роботи ICS. У період з листопада 2023 року по січень 2024 року агентства безпеки підтвердили, що було скомпрометовано щонайменше 75 програмованих логічних контролерів (PLC) та інтерфейсів людина-машина (HMI) по всьому світу, з яких 34 пристрої знаходилися в установках водоочистки США.

Основні мотиви

• Відплата за військові удари США та Ізраїлю в регіоні.
• Демонстрація асиметричних кіберздатностей проти цілей з високим впливом.
• Психологічні операції, спрямовані на підрив довіри громадськості до основних сервісів.

Технічний аналіз: Вразливості PLC та HMI

PLC та HMI є основою автоматизації процесів у критичній інфраструктурі. Серед поширених вразливостей можна виділити:

• Стандартні облікові дані: Багато пристроїв постачаються з паролем admin/admin або взагалі без пароля, що дозволяє неавтентифікований доступ.
• Відсутність сегментації мережі: Відкриті ICS-обладнання часто знаходяться в плоских мережах без належних VLAN або брандмауерів.
• Небезпечні протоколи: Старі протоколи, такі як Modbus TCP, DNP3 та CIP, не мають вбудованого шифрування та автентифікації.

Потрапивши всередину, зловмисники можуть використовувати техніки Mitre ATT&CK, такі як T0889: Маніпуляція промисловими системами управління, щоб змінювати параметри процесів, відключати системи безпеки або робити пристрої нечутливими до легітимних операторів.

Пристрої, що підключені до Інтернету: Останні дані Censys

Компанія з безпеки Censys провела масштабні сканування Інтернету з січня по червень 2025 року, виявивши різке збільшення кількості відкритих ICS та пристроїв автоматизації будівель:

• Tridium Niagara Framework: +9% (з 39,371 до 43,167 відкритих систем)
• Red Lion Controllers: +7% (з 2,453 до 2,639)
• Unitronics Vision Series: +4% (з 1,622 до 1,697)
• Orpak SiteOmat: –24% (успішне виправлення в деяких секторах)

Ці пристрої часто знаходяться в публічних IP-діапазонах з відкритими TCP-портами (502 для Modbus, 44818 для EtherNet/IP), і багато з них все ще використовують заводські облікові записи, які зловмисники можуть експлуатувати за лічені секунди.

Думки експертів щодо заходів зміцнення безпеки

“Будь-який пристрій, доступний з Інтернету без багатофакторної автентифікації та зашифрованих комунікацій, є бомбою уповільненої дії,” зазначила доктор Олена Мартінес, експерт з кібербезпеки ICS в SANS Institute. “Захисники повинні впроваджувати архітектуру нульової довіри, забезпечувати сувору сегментацію мережі та впроваджувати глибокий аналіз пакетів на межі мережі.”

• Сильні політики паролів – Впроваджувати складні облікові дані та змінювати їх щоквартально.
• Сегментація мережі – Ізолювати ICS-мережі за допомогою брандмауерів та діодів даних.
• Зашифровані протоколи – Мігрирувати на OPC UA або безпечний DNP3, де це можливо.
• Безперервний моніторинг – Впроваджувати рішення IDS/IPS, налаштовані на сигнатури ICS.

Регуляторні та комплаєнс-аспекти

Агентство з кібербезпеки та безпеки інфраструктури (CISA) та Національний інститут стандартів і технологій (NIST) надають рамки—NIST SP 800-82 Rev. 3—для забезпечення безпеки ICS. Дотримання директиви безпеки з підготовки до надзвичайних ситуацій та реагування (EPR) тепер є обов’язковим для операторів водного сектора, що вимагає документованих планів реагування на інциденти та регулярних навчань.

Прогноз загроз і рекомендації

Враховуючи продемонстровані кіберздатності Ірану та триваючі геополітичні конфлікти, критична інфраструктура США залишається під високим ризиком. Агентства рекомендують наступні кроки:

1. Аудит усіх пристроїв ICS на предмет підключення до Інтернету та стандартних облікових даних.
2. Впровадження багатофакторної автентифікації та VPN-шлюзів для віддаленого доступу.
3. Участь у обміні інформацією про загрози через ISAC (Центри обміну та аналізу інформації).
4. Планування щоквартальних тестів на проникнення та вправ червоних команд, зосереджених на середовищах ICS.

Застосовуючи стратегію багаторівневої оборони—поєднуючи технічні заходи, поліпшення процесів та навчання персоналу—комунальні підприємства можуть значно зменшити свою вразливість та підвищити стійкість до складних загроз з боку державних акторів.