Rockwell Automation PLC Cyberattacks: How 4,000 U.S. Industrial Devices Were Exposed in 2026

Rockwell Automation PLC kibertámadások: Hogyan vált 4 000 amerikai ipari eszköz sebezhetővé 2026-ban

Az ipari automatizálás példátlan kiberkockázatokkal néz szembe

Közel 4 000 amerikai ipari automatizálási eszköz – elsősorban a Rockwell Automation/Allen‑Bradley PLC-k – vált iráni állami támogatású kibertámadások célpontjává 2026 márciusától kezdődően. Ezek az incidensek működési zavarokat okoztak, kézi vezérlésre kényszerítettek, és pénzügyi veszteségeket eredményeztek kritikus ágazatokban. Emellett több szövetségi ügynökség megerősítette, hogy iráni APT csoportok kihasználták az internetre nyitott vezérlőrendszereket, manipulálták a HMI/SCADA kijelzőket, és pusztító akciókat próbáltak végrehajtani wiper típusú rosszindulatú szoftverekkel. Ennek eredményeként az amerikai üzemeltetőknek sürgősen meg kell erősíteniük a gyári automatizálási eszközök biztonságát.

A támadók kihasználják az EtherNet/IP-t és a nyitott PLC infrastruktúrát

A kampány olyan PLC-ket célozott meg, amelyek az EtherNet/IP protokollon kommunikálnak, amely széles körben használt a gyári automatizálásban és a folyamatiparban. A Censys adatai szerint világszerte 5 219 gazdagép azonosított Rockwell Automation/Allen‑Bradley eszközként, ezek 74,6%-a az Egyesült Államokban található. Sok PLC mobilhálózatokon működött, ami korlátozott fizikai biztonságot jelez a terepen. Emellett a támadók MITRE ATT&CK technikákat alkalmaztak, például a nyilvánosan elérhető alkalmazások kihasználását (T1190) és külső távoli szolgáltatásokat (T1133), hogy hozzáférjenek, projektfájlokat szerezzenek meg, és manipulálják a működési adatokat.

Manipulált HMI/SCADA kijelzők zavarják a folyamatirányítást

Miután bejutottak a PLC környezetbe, a támadók megváltoztatták a HMI és SCADA kijelzőket, rontva a folyamat átláthatóságát, és az üzemeltetőket kézi működtetésre kényszerítve. Ez az Impair Process Control (T0813) és a Stored Data Manipulation (T1565.001) technikáknak felel meg. Ennek következtében az érintett létesítmények fokozott biztonsági kockázatokkal és működési instabilitással szembesültek. Saját tapasztalataim alapján a DCS és PLC üzembe helyezés terén a manipulált folyamatértékek megtéveszthetik az üzemeltetőket, és helytelen kézi beavatkozásokhoz vezethetnek, különösen a vízkezelési és energetikai rendszerekben.

Wiper malware próbálkozások a pusztító szándék jelei

A kampány részeként wiper típusú rosszindulatú szoftverek telepítésére irányuló kísérletek történtek, amelyek a működési adatok törlésére szolgálnak. Bár ezeknek a kísérleteknek a sikere nem tisztázott, hasonló támadások már hetekkel korábban is előfordultak, például a 2026 márciusi strykeri incidens, amikor mintegy 80 000 eszközt töröltek. Ez a minta azt mutatja, hogy a fenyegető szereplők rendelkeznek mind a képességgel, mind a szándékkal, hogy pusztító következményeket idézzenek elő ipari környezetben. Emellett a PLC konfigurációk ismerete mély ipari protokoll- és biztonsági logikai jártasságot jelez.

Az idővonal gyors ipari kiberfenyegetések eszkalációját mutatja

A támadássorozat gyorsan eszkalálódott:

  • 2026 március: Nagyszabású célzás az internetre nyitott Rockwell PLC-k ellen.

  • 2026. április 7.: Közös szövetségi figyelmeztetés a CISA, FBI, NSA, DOE, EPA és az Egyesült Államok Kibervédelmi Parancsnoksága részéről.

  • 2026. április 10.: Nyilvános jelentések megerősítik a széleskörű kitettséget és a folyamatos fenyegetettséget.

Korábbi kampányok 2023 és 2024 között Unitronics PLC-ket céloztak meg, amelyek víz- és szennyvízrendszereket kompromittáltak. Ezért a 2026-os támadások az iráni hosszú távú érdeklődés folytatását jelentik az ICS környezetek iránt.

A fenyegető tevékenység mély ICS ismereteket mutat

A szövetségi ügynökségek nagy biztonsággal iráni APT csoportoknak tulajdonítják a támadásokat. Taktikáik közé tartozik az internetre nyitott PLC-k felderítése, távoli hozzáférési protokollok kihasználása, projektfájlok kinyerése, folyamatadatok manipulálása és pusztító rosszindulatú szoftverek telepítésére irányuló kísérletek. A kampány opportunista jellegű, bármilyen elérhető eszközt céloz meg, nem specifikus szervezeteket. Ennek eredményeként minden olyan üzemeltető, akinek nyitott PLC-je van, fokozott kockázattal néz szembe. A leginkább érintett ágazatok az olaj- és gázipar, a víz- és szennyvízkezelés, az energiaipar és a kormányzati szolgáltatások.

Csökkentési intézkedések PLC és vezérlőrendszer üzemeltetők számára

Kritikus védelmi lépések:

  • Válasszák le a PLC-ket a nyilvános internetről a közvetlen kitettség megszüntetése érdekében.

  • Kötelezősítsék a többfaktoros hitelesítést (MFA) minden OT hálózati hozzáféréshez.

  • Frissítsék a PLC firmware-t és tiltsák le a nem használt szolgáltatásokat.

  • Folyamatosan figyeljék a naplókat gyanús távoli kapcsolatok után kutatva.

  • Erősítsék meg az incidenskezelési terveket a gyors elhárítás érdekében.

  • Képezze az OT személyzetet a biztonságos PLC telepítésről és az internetes kitettség kockázatairól.

Ezek az ajánlások összhangban állnak a szövetségi iránymutatásokkal és az ipari vezérlőrendszerek biztonságának legjobb gyakorlataival.

Alkalmazási forgatókönyvek – az ICS biztonságának erősítése automatizálási környezetekben

  • Biztonságos PLC telepítés tűzfalak és szegmentált OT hálózatok használatával.

  • Folyamatos EtherNet/IP forgalomfigyelés anomáliák észlelésére.

  • HMI/SCADA integritásellenőrzések a manipulált folyamatértékek felismerésére.

  • Katasztrófa-helyreállítási tervezés esetleges wiper malware incidensekre.

  • Zéró bizalom alapú hozzáférés-ellenőrzés a PLC és DCS eszközök távoli karbantartásához.

A szerzőről

Chen Yuhang tapasztalt ipari automatizálási szakértő, több mint 15 éves gyakorlati tapasztalattal a PLC, DCS, TSI és áramvédelmi rendszerek területén. Munkája az mérnöki megvalósításra, az OT kiberbiztonsági megerősítésre és a technikai dokumentációra összpontosít globális automatizálási gyártók és ipari média számára.

Hozzászólás írása

Felhívjuk a figyelmedet, hogy a hozzászólásokat jóvá kell hagyni a közzétételük előtt.

  • Gyors szállítás
    Gyors kézbesítés a sürgős igények kielégítésére.

  • Kiterjedt készlet

    A nagy raktárkészlet azonnali elérhetőséget biztosít.

  • Minőségbiztosítás

    Eredeti, kiváló minőségű PLC és DCS alkatrészek.

  • Globális Szolgáltatás

    Világszerte ügyfelek kiszolgálása megbízható támogatással.