Rockwell Automation PLC Cyberattacks: How 4,000 U.S. Industrial Devices Were Exposed in 2026

Rockwell Automation PLC кибершабуылдары: 2026 жылы АҚШ-тағы 4 000 өнеркәсіптік құрылғы қалай ашық қалды

Өнеркәсіптік автоматтандыру бұрын-соңды болмаған киберқауіпке тап болды

2026 жылдың наурыз айынан бастап шамамен 4,000 АҚШ-тағы өнеркәсіптік автоматтандыру құрылғылары — негізінен Rockwell Automation/Allen‑Bradley PLC — Иран мемлекетінің қолдауымен жүргізілген кибершабуылдарға ұшырады. Бұл оқиғалар операцияларды бұзып, қолмен басқаруға мәжбүрледі және маңызды салаларда қаржылық шығындарға әкелді. Сонымен қатар, бірнеше федералдық агенттіктер Иранның APT топтарының интернетке ашық басқару жүйелерін пайдаланып, HMI/SCADA дисплейлерін бұрмалап, жоюшы зиянды бағдарламаларды қолдануға әрекет жасағанын растады. Нәтижесінде, АҚШ операторлары зауыттық автоматтандыру активтерін қорғау қажеттілігін арттырды.

Шабуылдаушылар EtherNet/IP және ашық PLC инфрақұрылымын пайдаланады

Науқан EtherNet/IP протоколы арқылы байланысатын PLC-лерді нысанаға алды, бұл протокол зауыттық автоматтандыру және процестік өнеркәсіптерде кеңінен қолданылады. Censys деректеріне сәйкес, әлем бойынша 5,219 хост Rockwell Automation/Allen‑Bradley құрылғылары ретінде анықталды, олардың 74,6%-ы АҚШ-та орналасқан. Көптеген PLC-лер ұялы желілерде жұмыс істеді, бұл олардың физикалық қауіпсіздігі шектеулі алаңда орналастырылғанын көрсетеді. Сонымен қатар, шабуылдаушылар MITRE ATT&CK әдістерін, мысалы, Ашық Қолданбаны пайдалану (T1190) және Сыртқы Қашықтан Қызметтер (T1133) қолдана отырып, қол жеткізіп, жоба файлдарын шығарып алып, операциялық деректерді бұрмалады.

Бұрмаланған HMI/SCADA дисплейлері процесті басқаруды бұзады

PLC ортасына енгеннен кейін шабуылдаушылар HMI және SCADA дисплейлерін өзгертіп, процестің көрінісін бұзып, операторларды қолмен басқаруға көшуге мәжбүр етті. Бұл әрекет Процесті басқаруды бұзу (T0813) және Сақталған деректерді бұрмалау (T1565.001) әдістеріне сәйкес келеді. Сондықтан зардап шеккен нысандарда қауіпсіздік тәуекелдері мен операциялық тұрақсыздық артты. DCS және PLC іске қосу тәжірибеме сүйене отырып, бұрмаланған процесс мәндері операторларды адастырып, әсіресе су тазалау және энергетика жүйелерінде қате қолмен араласуға әкелуі мүмкін.

Жоюшы зиянды бағдарламаларды қолдану әрекеттері жойқын ниетті көрсетеді

Науқан операциялық деректерді жоюға арналған жоюшы зиянды бағдарламаларды енгізуге әрекет етті. Бұл әрекеттердің сәттілігі белгісіз болса да, ұқсас шабуылдар бірнеше апта бұрын, оның ішінде 2026 жылғы наурызда Stryker компаниясында шамамен 80,000 құрылғы жойылған оқиға болды. Бұл үлгі қауіп-қатер жасаушылардың өнеркәсіптік ортада жойқын салдар туғызуға қабілеті мен ниеті бар екенін көрсетеді. Сонымен қатар, олардың PLC конфигурацияларын түсінуі өнеркәсіптік протоколдар мен қауіпсіздік логикасын терең білетінін дәлелдейді.

Уақыт кестесі өнеркәсіптік киберқауіптердің тез өскенін көрсетеді

Шабуылдар тізбегі тез өрбіді:

  • 2026 жылғы наурыз: интернетке ашық Rockwell PLC-лерге кең ауқымды шабуыл.

  • 2026 жылғы 7 сәуір: CISA, FBI, NSA, DOE, EPA және АҚШ Киберкомандасы бірлескен федералдық ескерту жариялады.

  • 2026 жылғы 10 сәуір: көпшілікке арналған есептер кең таралған ашықтық пен жалғасып жатқан қауіп-қатерді растады.

Алдыңғы науқандар 2023-2024 жылдары Unitronics PLC-лерін нысанаға алып, су және су тазарту жүйелерін бұзды. Сондықтан 2026 жылғы шабуылдар Иранның ICS орталарындағы ұзақ мерзімді қызығушылығының жалғасы болып табылады.

Қауіп-қатер әрекеттері ICS туралы терең білімді көрсетеді

Федералдық агенттіктер шабуылдарды Иранның APT топтарына жоғары сенімділікпен жатқызады. Олардың тактикасы ашық PLC-лерді сканерлеу, қашықтан қол жеткізу протоколдарын пайдалану, жоба файлдарын шығару, процесс деректерін бұрмалау және жойқын зиянды бағдарламаларды енгізуге әрекеттенуді қамтиды. Науқан мүмкіндігі бар кез келген құрылғыны нысанаға алады, нақты ұйымдарды емес. Сондықтан ашық PLC-лері бар барлық операторлар жоғары қауіп-қатерге ұшырайды. Ең көп зардап шеккен салаларға мұнай-газ, су және су тазарту, энергетика және мемлекеттік қызметтер кіреді.

PLC және басқару жүйесі операторлары үшін алдын алу шаралары

Маңызды қорғаныс шаралары:

  • PLC-лерді қоғамдық интернеттен ажырату арқылы тікелей ашықтықты жою.

  • Барлық OT желіге кіру үшін MFA енгізу.

  • PLC микробағдарламасын жаңарту және пайдаланылмайтын қызметтерді өшіру.

  • Күдікті қашықтан қосылымдарды үздіксіз бақылау.

  • Жедел оқиғаға жауап беру жоспарларын күшейту үшін тез арада оқшаулау.

  • OT персоналын қауіпсіз PLC орналастыру және интернетке ашықтық тәуекелдері туралы оқыту.

Бұл ұсыныстар федералдық нұсқаулықтар мен өнеркәсіптік басқару жүйелерін қорғаудың үздік тәжірибелерімен сәйкес келеді.

Қолдану сценарийлері — автоматтандыру орталарында ICS қауіпсіздігін нығайту

  • PLC орналастыруды қауіпсіз ету үшін брандмауэрлер мен сегменттелген OT желілерін пайдалану.

  • EtherNet/IP трафигін аномалиялар үшін үздіксіз бақылау.

  • HMI/SCADA тұтастығын тексеру арқылы бұрмаланған процесс мәндерін анықтау.

  • Жоюшы зиянды бағдарламалар оқиғаларына арналған апаттан кейін қалпына келтіру жоспарын жасау.

  • PLC және DCS активтерін қашықтан қызмет көрсету үшін нөлдік сенімге негізделген қол жеткізуді қамтамасыз ету.

Автор туралы

Чен Юханг — 15 жылдан астам тәжірибесі бар аға өнеркәсіптік автоматтандыру маманы, PLC, DCS, TSI және қуат қорғау жүйелері бойынша жұмыс істейді. Оның қызметі инженерлік іске асыруға, OT киберқауіпсіздігін нығайтуға және жаһандық автоматтандыру өндірушілері мен өнеркәсіптік БАҚ үшін техникалық құжаттамаларға бағытталған.

Пікір қалдырыңыз

Назар аударыңыз, пікірлер жарияланғанға дейін мақұлдануы керек.

  • Жедел жеткізу
    Шұғыл қажеттіліктерге жылдам жеткізу.

  • Кең көлемді қор

    Үлкен қор тауарлардың дереу қолжетімділігін қамтамасыз етеді.

  • Сапаны қамтамасыз ету

    Шынайы, жоғары сапалы PLC және DCS бөлшектері.

  • Жаһандық Қызмет

    Әлем бойынша клиенттерге сенімді қолдау көрсету.