WatchGuard Technologies, een toonaangevend bedrijf in geïntegreerde cybersecurity voor managed service providers, heeft het The WatchGuard Geopolitical Cyber Report gepubliceerd, een nieuw cyberdreigingsrapport dat de relatie onderzoekt tussen geopolitieke onrust en de toenemende cyberrisico’s voor kritieke infrastructuren.
Het rapport richt zich op de activiteiten van CyberAv3ngers, een groep die ook bekendstaat als Shahid Kaveh Group, Storm-0784, Hydro Kitten, UNC5691 of CL-STA-1128. Volgens de analyse zou deze Iran-gerelateerde organisatie campagnes hebben uitgevoerd tegen programmable logic controllers (PLC’s) en operationele technologie (OT)-omgevingen die worden gebruikt in kritieke infrastructuren in Noord-Amerika.
Hoewel het onderzoek vooral op deze regio is gericht, zijn de geïdentificeerde technieken relevant voor organisaties in andere markten, vooral voor die met industriële systemen, OT-apparaten of met internet verbonden infrastructuur die kwetsbaar is voor cyberaanvallen.
Het onderzoek is uitgevoerd door Paolo Omezzolli, SOC-analist bij WatchGuard in Spanje. Hij richt zich op incidentonderzoek, het opstellen van alert-rapporten voor klanten en het ontwikkelen van threat intelligence, met speciale aandacht voor de geopolitieke impact van actuele cybercampagnes.
Het cyberspace als verlengstuk van geopolitieke spanningen
Het rapport plaatst de analyse in een internationale context gekenmerkt door toenemende geopolitieke spanningen en de consolidatie van cyberspace als extra confrontatiefront. Volgens het rapport resulteerde de geopolitieke escalatie in 1.245 gerichte cyberaanvallen, uitgevoerd door 99 threat actors uit 14 landen. Dit onderstreept hoe internationale crises zich steeds directer vertalen naar het digitale domein.
Een van de belangrijkste conclusies is dat aanvallen op OT-omgevingen niet langer als gewone cyberincidenten moeten worden gezien. WatchGuard waarschuwt dat deze campagnes niet alleen meer gericht zijn op het stelen van informatie, het versleutelen van gegevens of het verstoren van digitale diensten, maar ook de fysieke processen in industriële systemen kunnen beïnvloeden. Bij PLC’s kan een compromittering bijvoorbeeld de werking van pompen, kleppen, productielijnen of distributiesystemen verstoren, met mogelijke gevolgen voor operationele continuïteit en essentiële diensten.
Het rapport benadrukt ook de wereldwijde blootstelling van deze apparaten. Volgens het onderzoek zijn er 5.219 hosts verbonden met EtherNet/IP die online staan. Hoewel de meeste zich in de Verenigde Staten bevinden, worden ook devices in onder andere Spanje (110), Taiwan en Italië gerapporteerd.
Betroffen sectoren en belangrijke bevindingen
Tot de sectoren die getroffen kunnen worden of binnen het bereik van deze activiteiten vallen, behoren watersystemen en rioolwaterbeheer, energiebedrijven, overheidsdiensten en -voorzieningen, evenals indicaties van aanvallen op andere industriële sectoren en OT-afhankelijke systemen via selectieve poorten.
Naast de bevestigde compromitteringen benadrukt WatchGuard dat CyberAv3ngers exposeerde PLC’s die online staan en dat de campagne al heeft geleid tot operationele verstoringen, manipulatie van HMI/SCADA-schermen en economische schade voor de getroffen organisaties. Het rapport merkt ook op dat de aanvallers legitieme engineeringtools gebruiken om verbinding te maken met systemen van slachtoffers, waardoor detectie met traditionele malware-gerichte benaderingen wordt bemoeilijkt.
De analyse geeft aan dat elke organisatie met aan internet gekoppelde OT-technologieën haar risico’s kritisch moet evalueren en prioriteit moet geven aan het identificeren van blootstellingen, vooral voor apparaten die via publieke netwerken bereikbaar zijn of gekoppeld zijn aan industriële poorten die vaak gebruikt worden in dergelijke omgevingen.
Aanbevelingen voor mitigatie
WatchGuard adviseert organisaties alle OT-apparaten die online staan te identificeren, de externe aanvalsvectoren te evalueren, internetgerelateerde controle-systemen te isoleren of af te schermen met firewalls, sterke authenticatie toe te passen, tekenen van compromittering te monitoren in netwerk- en DNS-logs, de IT- en OT-omgevingen te segmenteren, offline back-ups te controleren en incident responsplannen aan te passen aan industriële scenario’s.
Het rapport concludeert dat de relatie tussen geopolitiek en cybersecurity niet als een eenmalig risico moet worden beschouwd, maar als een doorlopend gevaar. Volgens WatchGuard blijven voortdurende zichtbaarheid, het verkleinen van blootstelling, segmentatie en een snelle reactie cruciaal om kritieke infrastructuren te beschermen tegen steeds gerafineerdere campagnes met potentieel fysieke impact.