Serangan Siber pada PLC Rockwell Automation: Bagaimana 4.000 Perangkat Industri AS Terpapar pada 2026
Otomasi Industri Menghadapi Risiko Siber yang Belum Pernah Terjadi Sebelumnya
Hampir 4.000 perangkat otomasi industri AS—terutama Rockwell Automation/Allen‑Bradley PLC—terpapar serangan siber yang didukung negara Iran mulai Maret 2026. Insiden ini mengganggu operasi, memaksa pengendalian manual, dan menyebabkan kerugian finansial di berbagai sektor kritis. Selain itu, beberapa lembaga federal mengonfirmasi bahwa kelompok APT Iran mengeksploitasi sistem kontrol yang terhubung ke internet, memanipulasi tampilan HMI/SCADA, dan mencoba tindakan destruktif menggunakan malware penghapus. Akibatnya, operator AS menghadapi urgensi yang meningkat untuk mengamankan aset otomasi pabrik.
Penyerang Mengeksploitasi EtherNet/IP dan Infrastruktur PLC yang Terbuka
Kampanye ini menargetkan PLC yang berkomunikasi melalui EtherNet/IP, protokol yang banyak digunakan dalam otomasi pabrik dan industri proses. Menurut data Censys, terdapat 5.219 host global yang diidentifikasi sebagai perangkat Rockwell Automation/Allen‑Bradley, dengan 74,6% berlokasi di Amerika Serikat. Banyak PLC beroperasi di jaringan seluler, menunjukkan penempatan di lapangan dengan keamanan fisik terbatas. Selain itu, penyerang menggunakan teknik MITRE ATT&CK seperti Exploit Public‑Facing Application (T1190) dan External Remote Services (T1133) untuk mendapatkan akses, mengekstrak file proyek, dan memanipulasi data operasional.
Tampilan HMI/SCADA yang Dimanipulasi Mengganggu Kontrol Proses
Setelah masuk ke lingkungan PLC, penyerang mengubah tampilan HMI dan SCADA, mengurangi visibilitas proses dan memaksa operator beralih ke operasi manual. Aktivitas ini sesuai dengan Impair Process Control (T0813) dan Stored Data Manipulation (T1565.001). Oleh karena itu, fasilitas yang terdampak menghadapi peningkatan risiko keselamatan dan ketidakstabilan operasional. Berdasarkan pengalaman saya dengan commissioning DCS dan PLC, nilai proses yang dimanipulasi dapat menyesatkan operator dan menyebabkan intervensi manual yang salah, terutama pada sistem pengolahan air dan energi.
Upaya Malware Penghapus Menunjukkan Niat Destruktif
Kampanye ini termasuk upaya penyebaran malware penghapus yang dirancang untuk menghapus data operasional. Meskipun keberhasilan upaya ini belum jelas, serangan serupa terjadi beberapa minggu sebelumnya, termasuk insiden Maret 2026 di Stryker, di mana sekitar 80.000 perangkat terhapus. Pola ini menunjukkan bahwa pelaku ancaman memiliki kemampuan dan niat untuk menyebabkan kerusakan di lingkungan industri. Selain itu, pemahaman mereka tentang konfigurasi PLC menunjukkan keakraban mendalam dengan protokol industri dan logika keselamatan.
Garis Waktu Menunjukkan Eskalasi Cepat Ancaman Siber Industri
Rangkaian serangan meningkat dengan cepat:
-
Maret 2026: Penargetan besar-besaran PLC Rockwell yang terbuka ke internet.
-
7 April 2026: Peringatan bersama federal dikeluarkan oleh CISA, FBI, NSA, DOE, EPA, dan U.S. Cyber Command.
-
10 April 2026: Pelaporan publik mengonfirmasi paparan luas dan aktivitas ancaman yang berkelanjutan.
Kampanye sebelumnya menargetkan PLC Unitronics antara 2023 dan 2024, yang mengompromikan sistem air dan limbah. Oleh karena itu, serangan 2026 ini merupakan kelanjutan dari minat jangka panjang Iran pada lingkungan ICS.
Aktivitas Ancaman Menunjukkan Pengetahuan Mendalam tentang ICS
Lembaga federal mengaitkan serangan ini dengan kelompok APT Iran dengan tingkat keyakinan tinggi. Taktik mereka meliputi pemindaian PLC yang terbuka, eksploitasi protokol akses jarak jauh, ekstraksi file proyek, manipulasi data proses, dan upaya penyebaran malware destruktif. Kampanye ini bersifat oportunistik, menargetkan perangkat yang dapat diakses tanpa memandang organisasi tertentu. Akibatnya, semua operator dengan PLC yang terbuka menghadapi risiko yang meningkat. Sektor yang paling terdampak meliputi minyak dan gas, air dan limbah, energi, dan layanan pemerintah.
Tindakan Mitigasi untuk Operator PLC dan Sistem Kontrol
Tindakan pertahanan kritis meliputi:
-
Putuskan koneksi PLC dari internet publik untuk menghilangkan paparan langsung.
-
Terapkan MFA untuk semua akses jaringan OT.
-
Perbarui firmware PLC dan nonaktifkan layanan yang tidak digunakan.
-
Pantau log secara terus-menerus untuk koneksi jarak jauh yang mencurigakan.
-
Perkuat rencana respons insiden untuk penanganan cepat.
-
Latih personel OT tentang penerapan PLC yang aman dan risiko paparan internet.
Rekomendasi ini sejalan dengan panduan federal dan praktik terbaik untuk mengamankan sistem kontrol industri.
Skema Aplikasi — Memperkuat Keamanan ICS di Lingkungan Otomasi
-
Penerapan PLC yang aman menggunakan firewall dan jaringan OT yang tersegmentasi.
-
Pemantauan terus-menerus lalu lintas EtherNet/IP untuk mendeteksi anomali.
-
Pemeriksaan integritas HMI/SCADA untuk mendeteksi nilai proses yang dimanipulasi.
-
Perencanaan pemulihan bencana untuk kemungkinan insiden malware penghapus.
-
Kontrol akses zero-trust untuk pemeliharaan jarak jauh aset PLC dan DCS.
Tentang Penulis
Chen Yuhang adalah spesialis otomasi industri senior dengan pengalaman lebih dari 15 tahun secara langsung dalam PLC, DCS, TSI, dan sistem proteksi daya. Karyanya berfokus pada implementasi rekayasa, penguatan keamanan siber OT, dan dokumentasi teknis untuk produsen otomasi global serta media industri.