هجمات إلكترونية على PLC من Rockwell Automation: كيف تم كشف 4,000 جهاز صناعي أمريكي في عام 2026
الأتمتة الصناعية تواجه مخاطر إلكترونية غير مسبوقة
تعرضت ما يقرب من 4000 جهاز أتمتة صناعية في الولايات المتحدة—معظمها من Allen‑Bradley التابعة لـ Rockwell Automation PLCs—لهجمات إلكترونية مدعومة من الدولة الإيرانية بدأت في مارس 2026. أدت هذه الحوادث إلى تعطيل العمليات، وإجبار التحكم اليدوي، وتسببت في خسائر مالية عبر قطاعات حيوية. علاوة على ذلك، أكدت عدة وكالات اتحادية أن مجموعات APT الإيرانية استغلت أنظمة التحكم المتصلة بالإنترنت، وتلاعبت بشاشات HMI/SCADA، وحاولت تنفيذ أعمال تخريبية باستخدام برمجيات مسح البيانات. ونتيجة لذلك، يواجه المشغلون في الولايات المتحدة ضرورة متزايدة لتأمين أصول أتمتة المصانع.
المهاجمون يستغلون EtherNet/IP وبنية PLC المكشوفة
استهدفت الحملة وحدات PLC التي تتواصل عبر بروتوكول EtherNet/IP، وهو بروتوكول شائع الاستخدام في أتمتة المصانع وصناعات العمليات. وفقًا لبيانات Censys، تم تحديد 5219 مضيفًا عالميًا كأجهزة Rockwell Automation/Allen‑Bradley، مع وجود 74.6% منها في الولايات المتحدة. تعمل العديد من وحدات PLC على شبكات خلوية، مما يشير إلى نشر ميداني مع أمان مادي محدود. بالإضافة إلى ذلك، استخدم المهاجمون تقنيات MITRE ATT&CK مثل استغلال التطبيقات المعرضة للإنترنت (T1190) والخدمات البعيدة الخارجية (T1133) للوصول، واستخراج ملفات المشاريع، والتلاعب بالبيانات التشغيلية.
تلاعب شاشات HMI/SCADA يعطل التحكم في العمليات
بمجرد دخولهم إلى بيئة PLC، قام المهاجمون بتغيير شاشات HMI وSCADA، مما أثر على وضوح العمليات وأجبر المشغلين على التحول إلى التشغيل اليدوي. يتماشى هذا النشاط مع تقنيات إعاقة التحكم في العمليات (T0813) والتلاعب بالبيانات المخزنة (T1565.001). لذلك، واجهت المنشآت المتأثرة مخاطر سلامة متزايدة وعدم استقرار تشغيلي. استنادًا إلى خبرتي في تشغيل DCS وPLC، يمكن للقيم المعالجة التي تم التلاعب بها أن تضلل المشغلين وتتسبب في تدخلات يدوية خاطئة، خاصة في أنظمة معالجة المياه والطاقة.
محاولات برمجيات المسح تبرز نية تخريبية
شملت الحملة محاولات لنشر برمجيات مسح مصممة لحذف البيانات التشغيلية. بينما لا تزال نجاح هذه المحاولات غير واضح، وقعت هجمات مماثلة قبل أسابيع، بما في ذلك حادثة مارس 2026 في Stryker حيث تم مسح حوالي 80,000 جهاز. يظهر هذا النمط أن الجهات المهددة تمتلك القدرة والنية لإحداث أضرار تخريبية في البيئات الصناعية. بالإضافة إلى ذلك، يشير فهمهم لتكوينات PLC إلى معرفة عميقة بالبروتوكولات الصناعية ومنطق السلامة.
الجدول الزمني يظهر تصاعدًا سريعًا في التهديدات الإلكترونية الصناعية
تصاعدت سلسلة الهجمات بسرعة:
-
مارس 2026: استهداف واسع النطاق لوحدات Rockwell PLC المكشوفة على الإنترنت.
-
7 أبريل 2026: إصدار تحذير مشترك من CISA وFBI وNSA وDOE وEPA وقيادة الفضاء الإلكتروني الأمريكية.
-
10 أبريل 2026: تقارير عامة تؤكد التعرض الواسع ونشاط التهديد المستمر.
استهدفت حملات سابقة وحدات Unitronics PLC بين 2023 و2024، مما أدى إلى اختراق أنظمة المياه والصرف الصحي. لذلك، تمثل هجمات 2026 استمرارًا للاهتمام الإيراني طويل الأمد ببيئات ICS.
نشاط التهديد يظهر معرفة عميقة بأنظمة ICS
تنسب الوكالات الفيدرالية الهجمات إلى مجموعات APT إيرانية بثقة عالية. تشمل تكتيكاتهم فحص وحدات PLC المكشوفة، واستغلال بروتوكولات الوصول عن بعد، واستخراج ملفات المشاريع، والتلاعب ببيانات العمليات، ومحاولة نشر برمجيات تخريبية. الحملة انتهازية، تستهدف أي جهاز متاح بدلاً من منظمات محددة. ونتيجة لذلك، يواجه جميع المشغلين الذين لديهم وحدات PLC مكشوفة مخاطر مرتفعة. تشمل القطاعات الأكثر تأثرًا النفط والغاز، والمياه والصرف الصحي، والطاقة، والخدمات الحكومية.
إجراءات التخفيف لمشغلي PLC وأنظمة التحكم
تشمل الإجراءات الدفاعية الحرجة ما يلي:
-
فصل وحدات PLC عن الإنترنت العام لإزالة التعرض المباشر.
-
تطبيق المصادقة متعددة العوامل (MFA) لجميع الوصول إلى شبكات OT.
-
تحديث برامج تشغيل PLC وتعطيل الخدمات غير المستخدمة.
-
مراقبة السجلات باستمرار للكشف عن اتصالات بعيدة مشبوهة.
-
تعزيز خطط الاستجابة للحوادث للحد السريع من الأضرار.
-
تدريب موظفي OT على نشر PLC الآمن ومخاطر التعرض للإنترنت.
تتوافق هذه التوصيات مع الإرشادات الفيدرالية وأفضل الممارسات لتأمين أنظمة التحكم الصناعية.
سيناريوهات التطبيق — تعزيز أمان ICS في بيئات الأتمتة
-
نشر PLC آمن باستخدام جدران الحماية وشبكات OT المقسمة.
-
مراقبة مستمرة لحركة مرور EtherNet/IP للكشف عن الشذوذ.
-
فحوصات سلامة HMI/SCADA لاكتشاف القيم المعالجة التي تم التلاعب بها.
-
تخطيط التعافي من الكوارث لحوادث محتملة لبرمجيات المسح.
-
التحكم في الوصول بنظام الثقة الصفرية للصيانة عن بعد لأصول PLC وDCS.
عن المؤلف
تشن يوهانغ هو متخصص أول في الأتمتة الصناعية يتمتع بخبرة عملية تزيد عن 15 عامًا في PLC، وDCS، وTSI، وأنظمة حماية الطاقة. يركز عمله على تنفيذ الهندسة، وتعزيز الأمن السيبراني في OT، والتوثيق الفني لمصنعي الأتمتة العالميين ووسائل الإعلام الصناعية.