100 дней геополитического конфликта: киберпреступники, связанные с Ираном, нарушают водные системы Калифорнии, несмотря на требования об ограничении ответственности

Спустя сто дней после эскалации напряженности между Ираном и западными державами спонсируемый государством киберпреступник, связанный с Тегераном, успешно взломал системы Калифорнийской службы водоснабжения, одного из крупнейших поставщиков услуг водоснабжения в Соединенных Штатах. Инцидент, вызвавший серьезные опасения по поводу безопасности критически важной инфраструктуры, произошел в то время, когда геополитические конфликты все чаще сопровождаются кибервойнами.

Геополитический контекст обостряется

Нарушение происходит на фоне обострения напряженности между Ираном и международными державами, особенно Соединенными Штатами. Конфликт, который перерос в конвенциональную войну и превратился в многостороннюю конфронтацию, привел к тому, что обе страны начали проводить кибероперации, нацеленные на важнейшую инфраструктуру, экономические системы и правительственные сети друг друга.

С начала последней фазы конфликта исследователи кибербезопасности зафиксировали значительное увеличение кибердеятельности, приписываемой группировкам, спонсируемым иранским государством. Эти субъекты продемонстрировали сложные возможности и растущую готовность атаковать организации, выходящие за рамки традиционного военного и государственного секторов.

Нарушение: технические подробности

По словам аналитиков по кибербезопасности, знакомых с инцидентом, связанная с Ираном группа получила доступ к корпоративной сети California Water Service посредством целенаправленной фишинговой кампании, нацеленной на сотрудников, имеющих доступ к системам промышленного контроля (ICS). Злоумышленники воспользовались ранее неизвестной уязвимостью в программном обеспечении удаленного мониторинга водоканала, что позволило им перемещаться по сети.

Хотя злоумышленники, судя по всему, не получили доступа к наиболее конфиденциальным операционным системам, которые непосредственно контролируют потоки воды и процессы очистки, они все же скомпрометировали административные базы данных, содержащие информацию о клиентах, записи счетов и инженерные схемы водопроводной сети.

Заявление об ограничении свободы

В заявлении, опубликованном на форуме по разведке киберугроз, связанная с Ираном группа заявила, что они сознательно решили не нарушать доступ к воде жителям Калифорнии. «Мы проникли в их системы, чтобы продемонстрировать уязвимость, а не причинить вред», — говорится в заявлении. «Вода — это право человека, и мы никогда не поставим под угрозу ее доступность».

Однако это заявление о сдержанности было встречено экспертами по кибербезопасности со скептицизмом. Хотя злоумышленникам, возможно, удалось избежать немедленных сбоев в работе, взлом систем водоснабжения представляет собой серьезную проблему национальной безопасности, независимо от заявленных намерений злоумышленников.

Последствия для безопасности критической инфраструктуры

Нарушение системы водоснабжения Калифорнии подчеркивает растущую уязвимость критически важной инфраструктуры для кибератак, спонсируемых государством. Водоканалы, а также энергосистемы, транспортные системы и учреждения здравоохранения стали главными целями для государственных субъектов, стремящихся продемонстрировать свои возможности или оказать давление во время геополитических конфликтов.

"Компании водоснабжения часто работают с устаревшими системами безопасности и ограниченными ресурсами, что делает их привлекательными целями для опытных игроков", - объяснила доктор Сара Митчелл, эксперт по кибербезопасности, специализирующийся на защите критической инфраструктуры. «Тот факт, что этой группе удалось взломать крупную систему водоснабжения, не вызвав немедленную тревогу, демонстрирует значительные пробелы в нашей оборонительной позиции».

Предыдущие инциденты и тенденции

Этот инцидент является частью тревожной серии кибератак, направленных на водную инфраструктуру во всем мире. В последние годы предприятия водоснабжения в нескольких странах сообщили о вторжениях со стороны государственных субъектов, причем некоторые инциденты привели к реальным перебоям в водоснабжении.

Известные инциденты включают в себя:

Атака на водоочистную станцию во Флориде в 2021 году, когда хакеры попытались повысить уровень гидроксида натрия в системе водоснабжения.

Взлом в системы европейского предприятия водоснабжения в 2022 году группой, связанной с Ираном.

Компрометация сетей австралийского поставщика воды в 2023 году аффилированным с Китаем субъектом.

Усилия по реагированию и смягчению последствий

После обнаружения нарушения Служба водоснабжения Калифорнии немедленно отключила затронутые системы от Интернета и начала судебно-медицинское расследование. Утилита также уведомила федеральные власти, в том числе Агентство кибербезопасности и безопасности инфраструктуры (CISA) и ФБР.

"Мы очень серьезно относимся к безопасности наших систем и услуг, которые мы предоставляем нашим клиентам", - заявил представитель California Water Service. «Мы тесно сотрудничаем с федеральными агентствами и агентствами штата, чтобы понять весь масштаб этого инцидента и принять дополнительные меры безопасности».

Федеральные чиновники призвали предприятия водоснабжения по всей стране пересмотреть свои меры безопасности и принять меры, рекомендованные группой реагирования на чрезвычайные ситуации в области кибербезопасности промышленных систем управления CISA (ICS-CERT).

Рекомендуемые меры безопасности

Эксперты по безопасности наметили несколько ключевых мер, которые предприятиям водоснабжения следует рассмотреть для повышения уровня кибербезопасности:

Внедрить сегментацию сети, чтобы изолировать сети операционных технологий (OT) от систем информационных технологий (ИТ).

Развертывание решений непрерывного мониторинга, специально разработанных для сред ICS.

Улучшить обучение сотрудников навыкам распознавания попыток фишинга и сообщать о них.

Разработать надежные планы реагирования на инциденты, адаптированные к работе предприятий водоснабжения.

Регулярно обновляйте и исправляйте все системы, включая устаревшее оборудование.

Геополитические последствия

Нарушение произошло в критический момент иранского конфликта, когда обе стороны участвуют в том, что эксперты называют «холодной кибервойной». Нападение на критически важную инфраструктуру представляет собой эскалацию тактики, переход от шпионажа и нарушения коммерческих операций к потенциальной угрозе основным услугам.

"Мы наблюдаем опасную нормализацию кибератак на критически важную инфраструктуру во время геополитических конфликтов", - предупредил бывший сотрудник Министерства внутренней безопасности Майкл Чен. «Хотя этот конкретный инцидент, возможно, и удалось сдержать, созданный им прецедент вызывает беспокойство. Следующий актер может не проявить такой же сдержанности».

Международный ответ

Правительство США пока официально не приписало атаку действиям, спонсируемым иранским государством, хотя частные фирмы по кибербезопасности установили связь на основе тактики, методов и процедур (TTP), использованных при взломе. Ожидается, что инцидент будет обсуждаться на международных форумах, включая возможные обсуждения в Организации Объединенных Наций.

Предпринимаются дипломатические усилия по установлению норм поведения государства в киберпространстве, особенно в отношении критически важной инфраструктуры. Однако прогресс был медленным: крупные державы продолжают участвовать в наступательных кибероперациях, одновременно выступая за сдержанность.

Взгляд в будущее: будущее кибербезопасности критической инфраструктуры

Нарушение требований Службы водоснабжения Калифорнии служит суровым напоминанием о проблемах, с которыми сталкиваются организации, ответственные за критически важную инфраструктуру. Поскольку геополитическая напряженность продолжает развиваться, риск кибератак, нацеленных на основные услуги, вероятно, возрастет.

«Нам необходимо изменить парадигму подхода к кибербезопасности критически важной инфраструктуры», — утверждает исследователь кибербезопасности доктор Елена Родригес. «Речь идет не только о технологиях — речь идет о политике, международных отношениях и признании того, что системы водоснабжения, электросети и больницы теперь являются частью поля битвы в современных конфликтах».

Отраслевые группы призывают к увеличению финансирования и нормативной поддержки предприятий водоснабжения, чтобы повысить их возможности кибербезопасности. Тем временем коммунальные предприятия начинают более тесно сотрудничать друг с другом и с государственными учреждениями для обмена информацией об угрозах и разработки стратегий коллективной защиты.

Путь вперед

Устранение растущей угрозы критически важной инфраструктуре потребует многогранного подхода:

По мере того, как проходит 100-дневная отметка иранского конфликта, взлом Калифорнийской службы водоснабжения служит напоминанием о том, что в современном взаимосвязанном мире кибератаки могут иметь реальные последствия. Хотя злоумышленники могут требовать сдержанности, этот инцидент подчеркивает острую необходимость усиления мер безопасности для критически важной инфраструктуры, от которой зависит современное общество.

В ближайшие месяцы, вероятно, будет уделяться повышенное внимание защите систем водоснабжения и других важнейших служб от киберугроз. Однако без устойчивых инвестиций, усовершенствованной нормативно-правовой базы и международного сотрудничества коммунальные предприятия будут продолжать сталкиваться с серьезными проблемами в защите от все более изощренных субъектов, спонсируемых государством.

100 дней после начала войны в Иране — группа, поддерживаемая Тегераном, нарушает Калифорнийскую службу водоснабжения, но утверждает, что они «предпочли не нарушать доступ к воде» https://www.techradar.com/pro/security/100-days-after-the-iran-war-started-tehran-backed-group-just-breached-california-water-service-but-claims-they-chose-not-to-disrupt-water-access Спустя 100 дней после начала войны с Ираном — группа, поддерживаемая Тегераном, взломала Калифорнийскую службу водоснабжения, но утверждает, что они «предпочли не нарушать доступ к воде» https://www.techradar.com/pro/security/100-days-after-the-iran-war-started-tehran-backed-group-just-breached-california-water-service-but-claims-they-chose-not-to-disrupt-water-access

Область	Испытание	Потенциальные решения
Технологии	Устаревшие системы, ограниченные ресурсы	Поэтапная модернизация, решения безопасности для ОТ
Политика	Непоследовательные правила, вопросы юрисдикции	Комплексные стандарты кибербезопасности, четкие требования к отчетности
Рабочая сила	Недостаток навыков, высокая текучесть кадров	Программы обучения, конкурентное вознаграждение, обмен знаниями
Международный	Отсутствие норм, проблемы с атрибуцией	Дипломатические усилия, меры доверия