Rockwell Automation PLC կիբերհարձակումներ՝ ինչպես 4,000 ԱՄՆ արդյունաբերական սարքեր բացահայտվեցին 2026 թվականին
Արդյունաբերական ավտոմատացումը կանգնած է աննախադեպ կիբերանվտանգության սպառնալիքի առաջ
Մոտ 4,000 ԱՄՆ-ի արդյունաբերական ավտոմատացման սարքեր՝ հիմնականում Rockwell Automation/Allen‑Bradley PLC-ներ—բացահայտվել են Իրանի պետական աջակցությամբ իրականացված կիբերհարձակումների արդյունքում, որոնք սկսվել են 2026 թվականի մարտին։ Այս դեպքերը խափանել են աշխատանքները, ստիպել ձեռքով կառավարում և ֆինանսական կորուստներ են պատճառել կարևոր ոլորտներում։ Բացի այդ, մի քանի դաշնային գործակալություններ հաստատել են, որ Իրանական APT խմբերը օգտվել են ինտերնետին միացված կառավարման համակարգերից, մանիպուլացրել են HMI/SCADA ցուցադրման համակարգերը և փորձել են վնասակար գործողություններ իրականացնել wiper մալվերների միջոցով։ Արդյունքում, ԱՄՆ-ի օպերատորները կանգնած են գործարանային ավտոմատացման ակտիվների անվտանգության բարձրացման հրատապության առաջ։
Հարձակումները օգտվում են EtherNet/IP և բաց PLC ենթակառուցվածքներից
Ակցիան նպատակաուղղված էր PLC-ներին, որոնք հաղորդակցվում են EtherNet/IP պրոտոկոլով, որը լայնորեն օգտագործվում է արտադրական ավտոմատացման և գործընթացների արդյունաբերություններում։ Censys տվյալների համաձայն՝ աշխարհում 5,219 հյուրընկալիչներ ճանաչվել են որպես Rockwell Automation/Allen‑Bradley սարքեր, որոնց 74.6%-ը գտնվում է ԱՄՆ-ում։ Շատ PLC-ներ աշխատում էին բջջային ցանցերով, ինչը ցույց է տալիս դաշտային տեղադրում՝ սահմանափակ ֆիզիկական անվտանգության պայմաններում։ Բացի այդ, հարձակումների հեղինակները օգտագործել են MITRE ATT&CK տեխնիկաներ, ինչպիսիք են Exploit Public‑Facing Application (T1190) և External Remote Services (T1133), որպեսզի հասնեն համակարգին, հանեն նախագծային ֆայլեր և մանիպուլացնեն գործառնական տվյալները։
Մանիպուլացված HMI/SCADA ցուցադրման համակարգերը խափանում են գործընթացի կառավարումը
Մի անգամ ներսում PLC միջավայրում, հարձակումների հեղինակները փոփոխել են HMI և SCADA ցուցադրման համակարգերը՝ խանգարելով գործընթացի տեսանելիությունը և ստիպելով օպերատորներին անցնել ձեռքով կառավարում։ Այս գործողությունները համապատասխանում են Impair Process Control (T0813) և Stored Data Manipulation (T1565.001) տեխնիկաներին։ Արդյունքում, ազդված օբյեկտները կանգնած են անվտանգության բարձր ռիսկերի և գործառնական անկայունության առաջ։ Իմ փորձի հիման վրա DCS և PLC հանձնման ոլորտում՝ մանիպուլացված գործընթացի արժեքները կարող են մոլորեցնել օպերատորներին և առաջացնել սխալ ձեռքով միջամտություններ, հատկապես ջրի մաքրման և էներգետիկ համակարգերում։
Wiper մալվերների փորձերը ցույց են տալիս վնասակար մտադրություն
Ակցիան ներառում էր wiper մալվերների տեղադրման փորձեր, որոնք նախատեսված են գործառնական տվյալների ջնջման համար։ Չնայած այս փորձերի հաջողությունը դեռ պարզ չէ, նման հարձակումներ տեղի են ունեցել շաբաթներ առաջ, այդ թվում՝ 2026 թվականի մարտին Stryker-ում, որտեղ մոտ 80,000 սարքեր ջնջվել են։ Այս օրինակն ցույց է տալիս, որ սպառնացող կողմերը ունեն և՛ կարողություն, և՛ մտադրություն՝ արդյունաբերական միջավայրերում վնասակար հետևանքներ առաջացնելու։ Բացի այդ, նրանց PLC կոնֆիգուրացիաների իմացությունը վկայում է արդյունաբերական պրոտոկոլների և անվտանգության տրամաբանության խորքային ծանոթության մասին։
Ժամանակացույցը ցույց է տալիս արդյունաբերական կիբեր սպառնալիքների արագ աճ
Հարձակումների հաջորդականությունը արագ է զարգացել՝
-
2026 թվականի մարտ: Մեծածավալ հարձակումներ ինտերնետին բաց Rockwell PLC-ների վրա։
-
2026 թվականի ապրիլի 7: CISA, FBI, NSA, DOE, EPA և ԱՄՆ Կիբեր հրամանատարության համատեղ դաշնային խորհրդատվություն։
-
2026 թվականի ապրիլի 10: Հանրային հաղորդագրություններ հաստատում են լայնածավալ բացահայտումը և շարունակվող սպառնալիքի ակտիվությունը։
Նախորդ արշավները 2023-2024 թվականներին նպատակաուղղված էին Unitronics PLC-ներին՝ վնասելով ջրի և կոյուղու համակարգերը։ Արդյունքում, 2026 թվականի հարձակումները ներկայացնում են Իրանի երկարաժամկետ հետաքրքրությունը ICS միջավայրերում։
Սպառնալիքի ակտիվությունը ցույց է տալիս ICS-ի խորքային գիտելիքներ
Դաշնային գործակալությունները բարձր վստահությամբ վերագրում են հարձակումները Իրանական APT խմբերին։ Նրանց մարտավարությունը ներառում է բաց PLC-ների սկանավորում, հեռավոր մուտքի պրոտոկոլների շահագործում, նախագծային ֆայլերի հանումը, գործընթացի տվյալների մանիպուլյացիա և վնասակար մալվերների տեղադրման փորձեր։ Ակցիան հնարավորությունների վրա հիմնված է, նպատակաուղղված չէ կոնկրետ կազմակերպությունների, այլ ցանկացած հասանելի սարքի վրա։ Արդյունքում, բոլոր օպերատորները, որոնց PLC-ները բաց են, կանգնած են բարձր ռիսկի առաջ։ Ամենաշատ տուժած ոլորտներն են նավթ-գազը, ջրի և կոյուղու համակարգերը, էներգետիկան և պետական ծառայությունները։
Պահպանման միջոցառումներ PLC և կառավարման համակարգերի օպերատորների համար
Կրիտիկական պաշտպանական գործողությունները ներառում են՝
-
Կտրել PLC-ները հանրային ինտերնետից՝ ուղղակի բացահայտումը բացառելու համար։
-
Կիրառել MFA բոլոր OT ցանցի մուտքերի համար։
-
Թարմացնել PLC ֆիրմվերը և անջատել չօգտագործվող ծառայությունները։
-
Շարունակաբար հետևել լոգերին կասկածելի հեռավոր կապերի համար։
-
Հզորացնել միջադեպերի արձագանքման պլանները արագ զսպման համար։
-
Դասավանդել OT անձնակազմին անվտանգ PLC տեղադրման և ինտերնետային բացահայտման ռիսկերի մասին։
Այս առաջարկությունները համահունչ են դաշնային ուղեցույցներին և արդյունաբերական կառավարման համակարգերի անվտանգության լավագույն պրակտիկներին։
Դիմումների սցենարներ — ICS անվտանգության ամրապնդում ավտոմատացման միջավայրերում
-
Անվտանգ PLC տեղադրում՝ օգտագործելով ֆայրուոլներ և բաժանված OT ցանցեր։
-
Շարունակական մոնիտորինգ EtherNet/IP տրաֆիկի անոմալիաների հայտնաբերման համար։
-
HMI/SCADA ամբողջականության ստուգումներ՝ մանիպուլացված գործընթացի արժեքները հայտնաբերելու համար։
-
Արտակարգ վերականգնման պլանավորում հնարավոր wiper մալվերների դեպքերի համար։
-
Զրո վստահության մուտքի կառավարում PLC և DCS ակտիվների հեռավոր սպասարկման համար։
Հեղինակի մասին
Չեն Յուհանգը ավագ արդյունաբերական ավտոմատացման մասնագետ է՝ ավելի քան 15 տարվա գործնական փորձով PLC, DCS, TSI և էներգահամակարգերի պաշտպանություն ոլորտներում։ Նրա աշխատանքը կենտրոնացած է ինժեներական իրականացման, OT կիբերանվտանգության ամրապնդման և տեխնիկական փաստաթղթավորման վրա՝ համաշխարհային ավտոմատացման արտադրողների և արդյունաբերական լրատվամիջոցների համար։