Iranske hackere endrer drivstoffmålere ved amerikanske bensinstasjoner: tankene stod åpne uten passord

Systemene stod tilkoblet det åpne internettet uten passord, og angriperne kunne tukle med tallene som vises på drivstoffmålerne. Selve mengden bensin i tankene ble ikke endret, men feilvisninger kan i prinsippet skjule en lekkasje som ellers ville utløst alarm.

Saken ble først omtalt av CNN 15. mai. Amerikanske myndigheter mistenker iranske aktører, men har foreløpig ikke pekt ut en konkret gruppe. Det er ikke meldt om fysisk skade eller driftsforstyrrelser ved noen av stasjonene.

Tusenvis av tanker ligger åpne på nettet

De rammede systemene er såkalte automatiske tankmålere (ATG), bokser som sitter på undergrunnstankene og rapporterer nivå, temperatur og lekkasjevarsel videre til stasjonsdriverens kassesystem. Når en ATG kobles direkte til internett uten autentisering, kan hvem som helst finne den.

Forskere ved sikkerhetsselskapet Bitsight fant 6.542 ATG-enheter direkte tilgjengelige på nettet bare i løpet av én måneds skanning. De fleste står i USA. I 2024 publiserte selskapet 10 nye sårbarheter i seks ATG-modeller fra fem produsenter, blant dem Franklin TS-550, OPW SiteSentinel og Maglink LX, der flere fikk høyeste CVSS-score 10.0.

Principal Research Scientist Pedro Umbelino skriver i analysen at angripere med full administratortilgang kan endre tankgeometri, slå av alarmer eller framprovosere maskinvarefeil ved å la reléer slå raskt av og på. Teamet kjørte rundt 50 av/på-sykluser i sekundet, og relékomponenter sviktet etter omtrent seks timer under belastning.

Iran har pekt ut bransjen før

Iranske operatører har tidligere markert drivstoff-infrastrukturen som mål. Et lekket dokument fra Den islamske revolusjonsgarden, omtalt av Sky News i 2023, navnga ATG-systemer som et aktuelt sabotasjeobjekt.

Yossi Karadi, sjef for Israels nasjonale cyberdirektorat, sa til CNN, gjengitt av Newsweek, at iranske aktører nå opererer under press og slår til der de finner åpninger. Han beskriver en betydelig økning i tempo og integrasjon mellom cyberoperasjoner og psykologiske kampanjer.

Sikkerhetsbransjen reagerer skarpt. Kevin Kirkwood, informasjonssikkerhetssjef i Exabeam, kaller hendelsen "på grensen til et kinetisk cyberangrep" i en kommentaranalyse hos Security Magazine. Hans kollega Gabrielle Hempel legger til at det ikke lenger trengs fysiske eksplosjoner for å skape ustabilitet.

Norske OT-systemer i samme risikogruppe

Norge har ikke sluppet unna oppmerksomheten. I mai 2025 gikk Nasjonal sikkerhetsmyndighet ut med en advarsel om ondsinnet aktivitet rettet mot digital infrastruktur i blant annet vann- og damanlegg.

NSM-direktør Arne Christian Haugstøyl ba virksomheter være langt mer bevisste på risiko, og rådene som fulgte med, ligger tett opp til det Bitsight og amerikanske CISA anbefaler: ingen direkte fjernaksess over internett til OT-komponenter, segmentering mellom IT og OT, robust logging, phishing-resistent flerfaktor og oppdatert programvare på alt som vender ut mot nett.

Hvor mange norske bensintanker som faktisk lyser opp på søketjenester som Shodan, foreligger det ikke offentlige tall på. Bitsights kartlegging viser likevel at eksponerte ATG-er finnes i Europa, og at problemet ikke begrenser seg til amerikanske eiere.

For norske kjeder betyr funnet at hver eneste internett-eksponert måler er en mulig inngangsdør. Et angrep trenger ikke å tappe en eneste liter for å forårsake skade. Det holder å slå av et lekkasjevarsel.