**Iranische APTs zielen auf US-Infrastruktur ab** Ein gemeinsamer Ratschlag des **FBI**, der **CISA**, der **NSA**, der **Environmental Protection Agency (EPA)**, des **Department of Energy (DOE)** und des **United States Cyber Command – Cyber National Mission Force (CNMF)** hebt die eskalierende Bedrohung durch iranisch affiliierte Advanced Persistent Threat (APT)-Akteure hervor. Diese Akteure zielen speziell auf im Internet exponierte SPSen ab, die in Organisationen der kritischen Infrastruktur eingesetzt werden, darunter Regierungsdienste und -einrichtungen, Wasser- und Abwassersysteme sowie Energieversorgung. Der Ratschlag besagt, dass das **FBI** einschätzt, dass diese Gruppen beabsichtigen, Störungen zu verursachen, indem sie Projektdateien böswillig manipulieren und Daten verändern, die auf Human Machine Interface (HMI)- und Supervisory Control and Data Acquisition (SCADA)-Systemen angezeigt werden. "Iranisch affiliierte APT-Zielkampagnen gegen US-Organisationen haben sich kürzlich eskaliert, wahrscheinlich als Reaktion auf Feindseligkeiten zwischen dem Iran und den Vereinigten Staaten und Israel", warnt der Ratschlag. **Vergangene Vorfälle und Bedrohungsakteur-Affiliationen** Ein ähnlicher Ratschlag im November 2023 warnte vor der **CyberAv3ngers**-Bedrohungsgruppe, die mit dem iranischen Revolutionsgarde-Korps (IRGC) verbunden ist und Schwachstellen in US-basierten **Unitronics** Operational Technology (OT)-Systemen ausnutzt. Zwischen November 2023 und Januar 2024 kompromittierte **CyberAv3ngers** mindestens 75 **Unitronics** SPS-Geräte, wobei die Hälfte kritische Infrastrukturnetzwerke für Wasser- und Abwassersysteme (WWS) betraf. **Abhilfestrategien** Um sich gegen diese Angriffe zu verteidigen, empfiehlt der Ratschlag Folgendes: * SPSen vom Internet trennen oder sie mit einer Firewall sichern. * Protokolle auf Indikatoren für Kompromittierung (IOCs) scannen. * Auf verdächtigen Datenverkehr an OT-Ports prüfen, insbesondere von ausländischen Hosting-Anbietern. * Multi-Faktor-Authentifizierung (MFA) für den OT-Netzwerkzugriff implementieren. * SPSen mit der neuesten Firmware aktualisieren. * Nicht genutzte Dienste und Standard-Authentifizierungsschlüssel deaktivieren. * Netzwerkverkehr auf verdächtige Aktivitäten überwachen. **Aktuelle Aktivitäten von iranisch verbundenen Gruppen** Letzten Monat hat die iranisch verbundene Hacktivistengruppe **Handala** ungefähr 80.000 Geräte im Netzwerk des US-amerikanischen Medizintechnikunternehmens **Stryker** gelöscht. Das **FBI** hat außerdem gewarnt, dass iranische Hacker, die mit dem iranischen Ministerium für Nachrichtendienste und Sicherheit (MOIS) verbunden sind, **Telegram** bei Malware-Angriffen einsetzen.