Cyberattacchi ai PLC di Rockwell Automation: come 4.000 dispositivi industriali statunitensi sono stati esposti nel 2026
L'automazione industriale affronta un rischio informatico senza precedenti
Quasi 4.000 dispositivi di automazione industriale statunitensi—principalmente PLC Rockwell Automation/Allen‑Bradley—sono stati esposti a cyberattacchi sponsorizzati dallo stato iraniano a partire da marzo 2026. Questi incidenti hanno interrotto le operazioni, costretto al controllo manuale e causato perdite finanziarie in settori critici. Inoltre, diverse agenzie federali hanno confermato che gruppi APT iraniani hanno sfruttato sistemi di controllo esposti su internet, manipolato le interfacce HMI/SCADA e tentato azioni distruttive utilizzando malware wiper. Di conseguenza, gli operatori statunitensi devono urgentemente mettere in sicurezza le risorse di automazione delle fabbriche.
Gli aggressori sfruttano EtherNet/IP e infrastrutture PLC esposte
La campagna ha preso di mira PLC che comunicano tramite EtherNet/IP, un protocollo ampiamente utilizzato nell'automazione industriale e nei settori di processo. Secondo i dati di Censys, 5.219 host globali identificati come dispositivi Rockwell Automation/Allen‑Bradley, di cui il 74,6% situati negli Stati Uniti. Molti PLC operavano su reti cellulari, indicando un dispiegamento sul campo con sicurezza fisica limitata. Inoltre, gli aggressori hanno utilizzato tecniche MITRE ATT&CK come Exploit Public‑Facing Application (T1190) e External Remote Services (T1133) per ottenere accesso, estrarre file di progetto e manipolare dati operativi.
Manipolazione delle interfacce HMI/SCADA interrompe il controllo dei processi
Una volta all’interno dell’ambiente PLC, gli aggressori hanno alterato le interfacce HMI e SCADA, compromettendo la visibilità dei processi e costringendo gli operatori a passare al controllo manuale. Questa attività è coerente con Impair Process Control (T0813) e Stored Data Manipulation (T1565.001). Di conseguenza, le strutture colpite hanno affrontato maggiori rischi per la sicurezza e instabilità operativa. Basandomi sulla mia esperienza con la messa in servizio di DCS e PLC, valori di processo manipolati possono fuorviare gli operatori e causare interventi manuali errati, specialmente nei sistemi di trattamento delle acque e dell’energia.
I tentativi di malware wiper evidenziano intenti distruttivi
La campagna ha incluso tentativi di distribuire malware wiper progettato per cancellare dati operativi. Sebbene il successo di questi tentativi non sia chiaro, attacchi simili si sono verificati settimane prima, incluso l’incidente di marzo 2026 presso Stryker, dove circa 80.000 dispositivi sono stati cancellati. Questo schema dimostra che gli attori della minaccia possiedono sia la capacità sia l’intento di causare danni distruttivi negli ambienti industriali. Inoltre, la loro conoscenza delle configurazioni PLC suggerisce una profonda familiarità con i protocolli industriali e la logica di sicurezza.
La cronologia mostra una rapida escalation delle minacce informatiche industriali
La sequenza degli attacchi è aumentata rapidamente:
-
Marzo 2026: Attacco su larga scala ai PLC Rockwell esposti su internet.
-
7 aprile 2026: Avviso congiunto federale emesso da CISA, FBI, NSA, DOE, EPA e U.S. Cyber Command.
-
10 aprile 2026: Report pubblici confermano ampia esposizione e attività di minaccia in corso.
Campagne precedenti avevano preso di mira PLC Unitronics tra il 2023 e il 2024, compromettendo sistemi idrici e di trattamento delle acque reflue. Pertanto, gli attacchi del 2026 rappresentano una continuazione dell’interesse iraniano a lungo termine negli ambienti ICS.
L’attività della minaccia mostra una profonda conoscenza degli ICS
Le agenzie federali attribuiscono con alta fiducia gli attacchi a gruppi APT iraniani. Le loro tattiche includono la scansione di PLC esposti, lo sfruttamento di protocolli di accesso remoto, l’estrazione di file di progetto, la manipolazione dei dati di processo e il tentativo di distribuire malware distruttivi. La campagna è opportunistica, prendendo di mira qualsiasi dispositivo accessibile piuttosto che organizzazioni specifiche. Di conseguenza, tutti gli operatori con PLC esposti affrontano un rischio elevato. I settori più colpiti includono petrolio e gas, acqua e trattamento delle acque reflue, energia e servizi governativi.
Azioni di mitigazione per operatori di PLC e sistemi di controllo
Le azioni difensive critiche includono:
-
Disconnettere i PLC da internet pubblico per eliminare l’esposizione diretta.
-
Applicare MFA per tutti gli accessi alla rete OT.
-
Aggiornare il firmware dei PLC e disabilitare i servizi non utilizzati.
-
Monitorare continuamente i log per connessioni remote sospette.
-
Rafforzare i piani di risposta agli incidenti per un contenimento rapido.
-
Formare il personale OT su implementazione sicura dei PLC e rischi di esposizione a internet.
Queste raccomandazioni sono in linea con le linee guida federali e le migliori pratiche per la sicurezza dei sistemi di controllo industriale.
Scenari di applicazione — Rafforzare la sicurezza ICS negli ambienti di automazione
-
Implementazione sicura dei PLC utilizzando firewall e reti OT segmentate.
-
Monitoraggio continuo del traffico EtherNet/IP per rilevare anomalie.
-
Controlli di integrità HMI/SCADA per individuare valori di processo manipolati.
-
Pianificazione del disaster recovery per potenziali incidenti da malware wiper.
-
Controllo accessi zero-trust per la manutenzione remota di asset PLC e DCS.
Informazioni sull’autore
Chen Yuhang è uno specialista senior in automazione industriale con oltre 15 anni di esperienza pratica in PLC, DCS, TSI e sistemi di protezione energetica. Il suo lavoro si concentra sull’implementazione ingegneristica, il rafforzamento della cybersecurity OT e la documentazione tecnica per produttori globali di automazione e media di settore.