**Des APT iraniens ciblent les infrastructures américaines** Un avis conjoint émis par le **FBI**, la **CISA**, la **NSA**, l'**Environmental Protection Agency (EPA)**, le **Department of Energy (DOE)** et le **United States Cyber Command – Cyber National Mission Force (CNMF)**, met en évidence la menace croissante posée par des acteurs de menaces persistantes avancées (APT) affiliés à l'Iran. Ces acteurs ciblent spécifiquement les PLC exposés sur Internet utilisés dans les organisations d'infrastructures critiques, y compris les services et installations gouvernementaux, les systèmes d'eau et d'eaux usées, et l'énergie. L'avis stipule que le **FBI** estime que ces groupes ont l'intention de provoquer des perturbations en interagissant malicieusement avec les fichiers de projet et en manipulant les données affichées sur les systèmes d'interface homme-machine (IHM) et de contrôle et d'acquisition de données de supervision (SCADA). « Les campagnes de ciblage des APT affiliés à l'Iran contre les organisations américaines se sont récemment intensifiées, probablement en réponse aux hostilités entre l'Iran, les États-Unis et Israël », avertit l'avis. **Incidents passés et affiliations des acteurs de menaces** Un avis similaire en novembre 2023 avait alerté sur le groupe de menace **CyberAv3ngers**, lié au Corps des Gardiens de la révolution islamique (IRGC) du gouvernement iranien, exploitant des vulnérabilités dans les systèmes de technologie opérationnelle (OT) **Unitronics** basés aux États-Unis. Entre novembre 2023 et janvier 2024, **CyberAv3ngers** a compromis au moins 75 appareils PLC **Unitronics**, dont la moitié a touché les réseaux d'infrastructures critiques des systèmes d'eau et d'eaux usées (WWS). **Stratégies d'atténuation** Pour se défendre contre ces attaques, l'avis recommande ce qui suit : * Déconnecter les PLC d'Internet ou les sécuriser avec un pare-feu. * Analyser les journaux à la recherche d'indicateurs de compromission. * Vérifier les trafics suspects sur les ports OT, en particulier ceux provenant de fournisseurs d'hébergement à l'étranger. * Mettre en œuvre l'authentification multi-facteurs (MFA) pour l'accès au réseau OT. * Maintenir les PLC à jour avec le dernier firmware. * Désactiver les services inutilisés et les clés d'authentification par défaut. * Surveiller le trafic réseau pour toute activité suspecte. **Activités récentes des groupes liés à l'Iran** Le mois dernier, le groupe hacktiviste **Handala**, lié à l'Iran, a effacé environ 80 000 appareils sur le réseau de la société américaine de dispositifs médicaux **Stryker**. Le **FBI** a également averti que des pirates iraniens liés au ministère du renseignement et de la sécurité (MOIS) du pays utilisent **Telegram** dans des attaques de malware.