WASHINGTON — Amerikaanse inlichtingendiensten waarschuwen bedrijven uit de particuliere sector in het hele land “dringend” dat Iraanse actoren cyberoperaties uitvoeren die zich richten op kritieke Amerikaanse infrastructuur, een campagne die volgens een overheidsmededeling al verstoringen heeft veroorzaakt.
De activiteit komt op het moment dat president Trump de infrastructuur van Iran bedreigde, met name de bruggen en energiecentrales.
De Iraanse aanval was gericht op producten van Allen-Bradley van Rockwell Automation, een van de meest gebruikte industriële automatiseringsmerken, volgens het bericht dat dinsdag voor het eerst werd gerapporteerd door The Times. Het advies zei dat cyberactoren gelieerd aan Iran “programmeerbare logische controllers in de Amerikaanse kritieke infrastructuur” exploiteerden.
De doelgerichte campagnes van Teheran tegen Amerikaanse organisaties “zijn onlangs geëscaleerd, waarschijnlijk als reactie op de vijandelijkheden tussen Iran, de Verenigde Staten en Israël”, aldus de mededeling.
Het advies werd dinsdag gezamenlijk uitgegeven door de FBI, de Cybersecurity and Infrastructure Security Agency, de National Security Agency, de Environmental Protection Agency, het Department of Energy en Cyber Command.
In haar eigen bericht waarschuwde de EPA dat de cyberaanval van Iran al “veelgebruikte operationele technologie op het gebied van drinkwater- en afvalwatersystemen” had verstoord, en dat de federale overheid “ijverig werkt om ervoor te zorgen dat Amerikanen kunnen vertrouwen op schoon en veilig water.”
“Cyberaanvallen op drinkwater- en afvalwatersystemen een directe bedreiging vormen voor de volksgezondheid en veerkracht van de gemeenschap”, zegt Jeffrey A. Hall, assistent-administrateur voor handhaving en nalevingsgarantie van de EPA, in een verklaring. “Een enkele inbreuk kan de behandeling verstoren of verontreinigingen introduceren, apparatuur beschadigen en het vertrouwen van het publiek aantasten.”
Topbestuurders van bedrijven die cruciaal zijn voor het functioneren van het land – degenen die leiding geven aan Amerika’s grootste energie-, water-, transport- en communicatiebedrijven – hadden het al op zich genomen om hun waakzaamheid over mogelijke aanvallen te vergroten, omdat ze bezorgd waren dat de bereidheid van Trump om de kritieke infrastructuur van Iran aan te vallen onbedoeld een stempel op hun rug zou drukken.
Sommigen zijn bang voor het vermogen van Iran om cyberoperaties uit te voeren die transformatoren of stroomomvormers zouden kunnen uitschakelen, of zelfs een grootschalig energiesysteem. Anderen maken zich zorgen over de bedreigingen van fysieke locaties door volmachten van Teheran – fysieke aanvallen op faciliteiten zoals kerncentrales of energiebeheersystemen, de kroonjuwelen van de sector.
Grotere, nog capabelere actoren, met name Rusland en China, kunnen ook profiteren van de oorlogsmist om zelf aanvallen uit te voeren.
“Er blijft bezorgdheid over de Iraanse cybercapaciteiten en vergeldingsmaatregelen als de VS hun infrastructuur blijven aanvallen”, zegt Ernest Moniz, voormalig minister van Energie van de VS onder president Obama, die hielp bij de onderhandelingen over het nucleaire akkoord van 2015 met Iran. “Misschien zitten er al backdoors, Trojaanse paarden en malware verborgen in onze infrastructuur.”
“Ik moet geloven dat de cyberexperts van de overheid – of wat er van hen over is – nauw en zelfs overuren samenwerken met de energiebedrijven en andere infrastructuurbeheerders op het gebied van cyberdefensie en inbraakdetectie en -waarschuwing,” voegde Moniz eraan toe.
Iran heeft al eerder laten zien dat het in staat is netwerken binnen te dringen die verbonden zijn met kritieke Amerikaanse infrastructuur.
In 2015 steunden Iran-hackers geraadpleegde gegevens die zijn gekoppeld met Calpine Corp., een van de grootste energieproducenten van Californië, voor het verkrijgen van gedetailleerde technische diagrammen en referenties met betrekking tot energiecentralesystemen. Sommige werden als ‘mission critical’ bestempeld. Amerikaanse functionarissen vreesden destijds dat Teheran door de inbreuk in het hele land stroomuitval zou kunnen veroorzaken.
Sinds die tijd hebben bedrijven in het centrum van de Amerikaanse energie- en telecommunicatiesector hun verdediging aanzienlijk verbeterd. Maar ook de offensieve capaciteiten van Iran zijn verbeterd.
Grote spelers in de energiesector opereren momenteel met “een waakzaam oog en een verhoogde houding”, zegt Pedro J. Pizarro, president en CEO van Edison International, het moederbedrijf van Edison in Zuid-Californië, een van de grootste elektriciteitsbedrijven van het land.
Bedrijven als Edison opereren al meer dan tien jaar onder aanhoudende dreiging. In 2024 een paar verwoestende cyberspionageaanvallen Volt Typhoon en Salt Typhoon, gericht op de Amerikaanse kritieke infrastructuur toegeschreven aan Chinese hackers, werden ontdekt nadat ze detectie gedurende ten minste drie jaar hadden vermeden.
De dreiging van een soortgelijke latente aanval – waarbij malware sluimert in kritieke infrastructuursystemen, wachtend op een signaal om te activeren – is een echte reden tot bezorgdheid in de sector, ondanks de inspanningen en technologische vooruitgang, zeggen experts en insiders.
“De dreiging van cyber- en fysieke aanvallen gericht op kritieke infrastructuur is niet nieuw”, zegt Jennifer DeCesaro, senior vice-president van Industry Operations bij het Edison Electric Institute, “daarom werken we samen met de overheid via de Electricity Subsector Coordinating Council om bruikbare informatie te delen en ons voor te bereiden op het reageren op incidenten die van invloed kunnen zijn op ons vermogen om veilig en betrouwbaar elektriciteit te leveren.”
De ESCC werkt nauw samen met de Nationale Veiligheidsraad en zijn inlichtingendiensten, met name de inlichtingendiensten en de Cybersecurity and Infrastructure Security Agency, of CISA, om regelmatige briefings over veiligheidsnormen, beste praktijken en inlichtingentips te coördineren.
De CIA weigerde commentaar te geven. Een woordvoerder van CISA, die op de lijst stond vanwege de aanhoudende federale financieringsonderbreking voor het ministerie van Binnenlandse Veiligheid, kon niet worden bereikt voor commentaar.
Afgelopen zomer, een verlaging van 40% aan te kondigen Voor het personeel van haar kantoor heeft Tulsi Gabbard, directeur van de Nationale Inlichtingendienst, het Cyber Threat Intelligence Integration Center geëlimineerd, dat voorheen door partners uit de particuliere sector werd gezien als een cruciaal knooppunt van informatie.
Trump heeft gedreigd elke brug en elektriciteitscentrale in Iran te vernietigen als het er niet in slaagt tot een akkoord te komen dat een einde maakt aan de controle over de Straat van Hormuz.
Uiteindelijk dragen bedrijfsleiders een groot deel van de lasten als eerste verdedigingslinie voor de kritieke infrastructuur van het land, waarvan grofweg 85% in handen is van bedrijven uit de particuliere sector.
Tom Fanning, voormalig CEO van Southern Co. en nu voorzitter van het uitvoerend comité van de Alliance for Critical Infrastructure, zei dat de dreiging vanuit Iran “geloofwaardig” is.
“Ik heb niet gezien wat ik zou omschrijven als de existentiële dreiging, namelijk het neerhalen van een breed machtssysteem”, zei Fanning. “Kunnen die dingen worden ingeschakeld? Zeker. Is de kritieke infrastructuur van de Verenigde Staten bereid om in actie te komen? Ik denk het wel.”
Vorige maand, aan het begin van de oorlog, werd het openbaar vervoerssysteem van de Los Angeles Metro gedwongen een deel van zijn netwerk af te sluiten vanwege een hack. De autoriteiten zeggen dat het nog steeds onduidelijk is wie er achter de inbreuk zat, maar een bron vertelde The Times dat door Iran gesteunde hackers worden onderzocht als mogelijke daders.
Het transportbureau zei dat zijn beveiligingsteam ‘ongeautoriseerde activiteiten had ontdekt’ en ervoor zorgde dat de ongeveer 1.400 servers veilig waren voordat ze weer online werden gebracht. Het bureau heeft benadrukt dat de hack geen invloed heeft gehad op de reistijd van passagiers.
De FBI zei op de hoogte te zijn van de hack. Homeland Security werkt samen met lokale partners “om cyberdreigingen voor kritieke infrastructuur aan te pakken”, aldus een functionaris.
“De realiteit is dat de bedreigingen hier en nu zijn”, voegde Fanning eraan toe. ‘De waarheid is dat de slechteriken er al zijn.’
Schrijvers van de Times, Kevin Rector, Richard Winton en Rebecca Ellis, in Los Angeles, hebben bijgedragen aan dit rapport.
