Cảnh báo khẩn cấp: Hacker Iran tấn công PLC, làm gián đoạn cơ sở hạ tầng quan trọng của Mỹ

Một số tổ chức cơ sở hạ tầng quan trọng tại Mỹ đã bị gián đoạn hoạt động do các cuộc tấn công mạng liên quan đến Iran nhắm vào các thiết bị công nghệ vận hành (OT). Theo một cảnh báo khẩn cấp được đưa ra vào thứ Ba, các cơ quan liên bang cho biết các cuộc tấn công này đã tác động trực tiếp đến hoạt động của nhiều thiết bị công nghiệp.

Hacker Iran

Trong một bản tư vấn chung, Cục Điều tra Liên bang (FBI), Cơ quan An ninh mạng và An ninh Cơ sở hạ tầng (CISA), Cơ quan An ninh Quốc gia (NSA), Cơ quan Bảo vệ Môi trường (EPA), Bộ Năng lượng (DOE) và Bộ Chỉ huy Không gian mạng Mỹ đã cảnh báo rằng các cuộc tấn công trong những tuần gần đây đã nhắm vào thiết bị thuộc nhiều lĩnh vực, bao gồm Dịch vụ và Cơ sở Chính phủ (bao gồm các chính quyền địa phương), Hệ thống Nước và Nước thải, cũng như lĩnh vực Năng lượng.

Nhắm vào các thiết bị PLC tiếp xúc với Internet

Các cơ quan liên bang xác nhận rằng các tác nhân đe dọa liên quan đến Iran đang tích cực nhắm vào các bộ điều khiển logic lập trình được (PLC) tiếp xúc với internet, đặc biệt là các thiết bị do Rockwell Automation/Allen-Bradley sản xuất, mặc dù các nhà cung cấp khác cũng có thể gặp rủi ro.

Hệ thống ICS

“Kết quả của hoạt động này, các tổ chức thuộc nhiều lĩnh vực cơ sở hạ tầng quan trọng của Mỹ đã trải qua sự gián đoạn thông qua các tương tác độc hại với các tệp dự án và sự thao túng dữ liệu hiển thị trên giao diện người - máy (HMI) và màn hình hệ thống kiểm soát và thu thập dữ liệu giám sát (SCADA),” bản tư vấn giải thích.

Do việc sử dụng rộng rãi các PLC này và tiềm năng nhắm thêm vào các thiết bị OT thương hiệu khác trong cơ sở hạ tầng quan trọng, các cơ quan soạn thảo khuyến nghị các tổ chức Mỹ khẩn trương xem xét các chiến thuật, kỹ thuật và quy trình (TTPs) cũng như các chỉ số bị xâm phạm (IOCs) trong bản tư vấn này để phát hiện hoạt động hiện tại hoặc trong quá khứ trên mạng của họ.

Hoạt động tương tự của nhóm CyberAv3ngers

Theo các cơ quan chức năng, chiến dịch này có hoạt động tương tự như các hoạt động trước đây được quy cho các nhóm liên quan đến Iran như CyberAv3ngers, nhóm từng nhắm vào các PLC trong các lĩnh vực cơ sở hạ tầng của Mỹ.

CyberAv3ngers là một nhóm liên quan đến Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC) và từng gây chú ý vì các cuộc tấn công vào lĩnh vực nước. Vào tháng 10 năm 2024, gã khổng lồ Trí tuệ nhân tạo OpenAI cho biết các tin tặc CyberAv3ngers đã sử dụng công cụ ChatGPT phổ biến của họ để lên kế hoạch tấn công vào hệ thống kiểm soát công nghiệp (ICS). OpenAI cho biết các tài khoản liên kết với nhóm này đã sử dụng ChatGPT để trinh sát, nhưng cũng để hỗ trợ khai thác lỗ hổng, né tránh sự phát hiện và hoạt động sau khi xâm nhập.

AI và Security

Nhóm này đã nhắm vào các hệ thống ICS tại một công ty cấp nước ở Ireland (cuộc tấn công khiến người dân bị thiếu nước trong hai ngày), một công ty cấp nước ở Pennsylvania và các cơ sở nước khác tại Hoa Kỳ.

Các cơ quan liên bang đang kêu gọi các tổ chức nên giả định rằng họ có thể là mục tiêu và chủ động đánh giá môi trường OT của mình để tìm các lỗ hổng bảo mật trước khi kẻ tấn công khai thác.

Xu hướng leo thang của các hoạt động mạng Iran

Các cuộc tấn công này là một phần của mô hình rộng lớn hơn về sự leo thang các hoạt động mạng liên quan đến Iran. Vào ngày 11 tháng 3, gã khổng lồ công nghệ y tế Stryker đã bị nhóm Handala nhắm mục tiêu, nhóm này được cho là đã xóa sạch dữ liệu của hơn 200.000 thiết bị của công ty.

Vào cuối tháng trước, chính phủ Hoa Kỳ đã chính thức liên kết nhóm tin tặc Handala nổi tiếng với chính phủ Iran. Thông báo được đưa ra trong bối cảnh việc gỡ bỏ một số trang web được Handala sử dụng.

Handala đã nằm trong tầm ngắm của các công ty an ninh mạng trong nhiều năm, nhưng nhóm này đã thu hút sự chú ý rộng rãi trong những tuần gần đây sau khi tăng cường hoạt động sau khi bắt đầu xung đột giữa Mỹ-Israel-Iran.

Trong một sự việc riêng biệt, Handala đã tấn công vào tài khoản email cá nhân của Giám đốc FBI Kash Patel, công bố các bức ảnh và email allegedly lấy từ hộp thư, mặc dù cơ quan chức năng cho biết không có thông tin chính phủ nào bị lộ.

Vào tháng 12 năm 2025, chính phủ Mỹ đã công bố thưởng lên tới 10 triệu USD cho thông tin về các thành viên của nhóm tin tặc Iran được gọi là Emennet Pasargad.