Rockwell Automation PLC Cyberattacks: How 4,000 U.S. Industrial Devices Were Exposed in 2026

Кибератаки срещу PLC на Rockwell Automation: Как 4 000 индустриални устройства в САЩ бяха изложени през 2026 г.

Индустриалната автоматизация се изправя пред безпрецедентен киберриск

Почти 4 000 устройства за индустриална автоматизация в САЩ — главно Rockwell Automation/Allen‑Bradley PLC — бяха изложени на кибератаки, подкрепяни от иранската държава, започнали през март 2026 г. Тези инциденти нарушиха операциите, наложиха ръчно управление и причиниха финансови загуби в критични сектори. Освен това няколко федерални агенции потвърдиха, че ирански APT групи са експлоатирали интернет-насочени контролни системи, манипулирали са HMI/SCADA дисплеи и са опитвали разрушителни действия с помощта на wiper зловреден софтуер. В резултат на това операторите в САЩ са изправени пред повишена необходимост да защитят активите на фабричната автоматизация.

Атакуващите експлоатират EtherNet/IP и изложената PLC инфраструктура

Кампанията беше насочена към PLC, комуникиращи чрез EtherNet/IP, широко използван протокол в фабричната автоматизация и процесните индустрии. Според данни на Censys, 5 219 глобални хоста са идентифицирани като устройства Rockwell Automation/Allen‑Bradley, като 74,6% от тях се намират в САЩ. Много PLC работеха през клетъчни мрежи, което показва полево разполагане с ограничена физическа сигурност. Освен това атакуващите използваха MITRE ATT&CK техники като Exploit Public‑Facing Application (T1190) и External Remote Services (T1133), за да получат достъп, да извлекат проектни файлове и да манипулират оперативни данни.

Манипулираните HMI/SCADA дисплеи нарушават процесния контрол

След като проникнаха в PLC средата, атакуващите промениха HMI и SCADA дисплеите, което затрудни видимостта на процесите и принуди операторите да преминат към ръчно управление. Тази дейност съответства на Impair Process Control (T0813) и Stored Data Manipulation (T1565.001). В резултат засегнатите обекти се изправиха пред повишени рискове за безопасността и оперативна нестабилност. Въз основа на моя опит с пускане в експлоатация на DCS и PLC, манипулираните процесни стойности могат да заблудят операторите и да доведат до неправилни ръчни интервенции, особено в системи за пречистване на вода и енергетика.

Опитите за използване на wiper зловреден софтуер подчертават разрушителни намерения

Кампанията включваше опити за разгръщане на wiper зловреден софтуер, предназначен да изтрие оперативни данни. Въпреки че успехът на тези опити остава неясен, подобни атаки се случиха седмици по-рано, включително инцидент през март 2026 г. в Stryker, където бяха изтрити около 80 000 устройства. Този модел показва, че заплаховите актьори притежават както възможност, така и намерение да причинят разрушителни последици в индустриалните среди. Освен това тяхното разбиране на конфигурациите на PLC предполага дълбоко познаване на индустриалните протоколи и логиката за безопасност.

Хронологията показва бързо ескалиране на индустриалните киберзаплахи

Последователността на атаките се изостри бързо:

  • Март 2026: Масово насочване към интернет-изложени Rockwell PLC.

  • 7 април 2026: Съвместно федерално предупреждение, издадено от CISA, FBI, NSA, DOE, EPA и U.S. Cyber Command.

  • 10 април 2026: Публични доклади потвърждават широко разпространено излагане и продължаваща заплаха.

Предишни кампании бяха насочени към Unitronics PLC между 2023 и 2024 г., компрометирайки водни и отпадъчни системи. Следователно атаките през 2026 г. представляват продължение на дългосрочния ирански интерес към ICS среди.

Активността на заплахата показва дълбоки познания за ICS

Федералните агенции с висока увереност приписват атаките на ирански APT групи. Техниките им включват сканиране за изложени PLC, експлоатиране на протоколи за отдалечен достъп, извличане на проектни файлове, манипулиране на процесни данни и опити за разгръщане на разрушителен зловреден софтуер. Кампанията е опортюнистична, насочена към всяко достъпно устройство, а не към конкретни организации. В резултат всички оператори с изложени PLC са изложени на повишен риск. Най-засегнатите сектори включват нефт и газ, водоснабдяване и отпадъчни води, енергетика и държавни услуги.

Мерки за смекчаване за операторите на PLC и контролни системи

Критичните защитни действия включват:

  • Разкачване на PLC от публичния интернет за премахване на директното излагане.

  • Прилагане на MFA за целия достъп до OT мрежата.

  • Актуализиране на фърмуера на PLC и деактивиране на неизползвани услуги.

  • Постоянен мониторинг на логове за подозрителни отдалечени връзки.

  • Засилване на плановете за реакция при инциденти за бързо ограничаване.

  • Обучение на OT персонала за сигурно разполагане на PLC и рисковете от излагане в интернет.

Тези препоръки са в съответствие с федералните насоки и най-добрите практики за защита на индустриалните контролни системи.

Приложни сценарии — Засилване на сигурността на ICS в автоматизационни среди

  • Сигурно разполагане на PLC чрез защитни стени и сегментирани OT мрежи.

  • Постоянен мониторинг на EtherNet/IP трафика за аномалии.

  • Проверки на целостта на HMI/SCADA за откриване на манипулирани процесни стойности.

  • Планиране на възстановяване при бедствия за потенциални инциденти с wiper зловреден софтуер.

  • Контрол на достъпа с нулево доверие за отдалечена поддръжка на PLC и DCS активи.

За автора 

Чен Юханг е старши специалист по индустриална автоматизация с над 15 години практически опит с PLC, DCS, TSI и системи за защита на захранването. Работата му е съсредоточена върху инженерното изпълнение, укрепване на OT киберсигурността и техническа документация за глобални производители на автоматизация и индустриални медии.

Оставете коментар

Моля, имайте предвид, че коментарите трябва да бъдат одобрени, преди да бъдат публикувани.

  • Експресна доставка
    Бърза доставка за спешни нужди.

  • Обширен инвентар

    Голям запас гарантира незабавна наличност.

  • Гаранция за качество

    Оригинални, висококачествени части за PLC и DCS.

  • Глобално обслужване

    Обслужване на клиенти по целия свят с надеждна поддръжка.