Rockwell Automation PLC Cyberattacks: How 4,000 U.S. Industrial Devices Were Exposed in 2026

Rockwell Automation PLC kiberdrošības uzbrukumi: kā 2026. gadā tika pakļauti 4 000 ASV rūpniecības ierīču

Rūpnieciskās automatizācijas priekšā stāv bezprecedenta kiberriska draudi

Gandrīz 4 000 ASV rūpnieciskās automatizācijas ierīču — galvenokārt Rockwell Automation/Allen‑Bradley PLC — kopš 2026. gada marta ir pakļautas Irānas valsts atbalstītu kiberuzbrukumu ietekmei. Šie incidenti traucēja darbību, piespieda pāriet uz manuālu kontroli un radīja finansiālus zaudējumus kritiskajos sektoros. Turklāt vairākas federālās aģentūras apstiprināja, ka Irānas APT grupas izmantoja internetam pieejamas vadības sistēmas, manipulēja ar HMI/SCADA displejiem un mēģināja veikt destruktīvas darbības, izmantojot wiper tipa ļaunprogrammatūru. Rezultātā ASV operatoriem ir paaugstināta steidzamība nodrošināt rūpnīcu automatizācijas aktīvu drošību.

Uzbrucēji izmanto EtherNet/IP un atklāto PLC infrastruktūru

Kampaņa bija vērsta uz PLC, kas sazinās, izmantojot EtherNet/IP — plaši izmantotu protokolu rūpnieciskajā automatizācijā un procesu nozarēs. Saskaņā ar Censys datiem, 5 219 globālie resursdatori tika identificēti kā Rockwell Automation/Allen‑Bradley ierīces, no kurām 74,6% atrodas ASV. Daudzi PLC darbojās uz mobilo sakaru tīkliem, kas liecina par lauka izvietojumu ar ierobežotu fizisko drošību. Turklāt uzbrucēji izmantoja MITRE ATT&CK paņēmienus, piemēram, Exploit Public‑Facing Application (T1190) un External Remote Services (T1133), lai iegūtu piekļuvi, izvilktu projekta failus un manipulētu ar operacionālajiem datiem.

Manipulētie HMI/SCADA displeji traucē procesa kontroli

Nonākot PLC vidē, uzbrucēji mainīja HMI un SCADA displejus, pasliktinot procesa pārredzamību un piespiežot operatorus pāriet uz manuālu darbību. Šī darbība atbilst Impair Process Control (T0813) un Stored Data Manipulation (T1565.001) paņēmieniem. Tādējādi skartās iekārtas saskārās ar paaugstinātiem drošības riskiem un darbības nestabilitāti. Balstoties uz manu pieredzi DCS un PLC nodošanā ekspluatācijā, manipulētas procesa vērtības var maldināt operatorus un izraisīt nepareizas manuālas iejaukšanās, īpaši ūdens attīrīšanas un enerģētikas sistēmās.

Wiper ļaunprogrammatūras mēģinājumi atklāj destruktīvas nodomas

Kampaņā bija mēģinājumi izvietot wiper tipa ļaunprogrammatūru, kas paredzēta operacionālo datu dzēšanai. Lai gan šo mēģinājumu panākumi nav skaidri, līdzīgi uzbrukumi notika dažas nedēļas agrāk, tostarp 2026. gada martā Stryker uzņēmumā, kur tika izdzēstas aptuveni 80 000 ierīču. Šis modelis liecina, ka draudu aktieri ir gan spējīgi, gan ieinteresēti radīt destruktīvus rezultātus rūpnieciskajā vidē. Turklāt viņu izpratne par PLC konfigurācijām liecina par dziļu pazīšanos ar rūpnieciskajiem protokoliem un drošības loģiku.

Laika grafiks rāda rūpniecisko kiberapdraudējumu strauju pieaugumu

Uzbrukumu secība attīstījās ātri:

  • 2026. gada marts: plaša mēroga mērķēšana uz internetam pieejamiem Rockwell PLC.

  • 2026. gada 7. aprīlis: kopīgs federālais brīdinājums, ko izdeva CISA, FBI, NSA, DOE, EPA un ASV Kiberkomanda.

  • 2026. gada 10. aprīlis: publiskie ziņojumi apstiprina plašu pakļautību un notiekošu draudu aktivitāti.

Iepriekšējās kampaņas bija vērstas uz Unitronics PLC laika posmā no 2023. līdz 2024. gadam, kompromitējot ūdens un notekūdeņu sistēmas. Tādējādi 2026. gada uzbrukumi ir ilgtermiņa Irānas interešu turpinājums ICS vidēs.

Draudu aktivitāte liecina par dziļām ICS zināšanām

Federālās aģentūras ar augstu pārliecību piešķir uzbrukumus Irānas APT grupām. Viņu taktikas ietver skenēšanu pēc atklātiem PLC, attālinātas piekļuves protokolu izmantošanu, projekta failu izvilkšanu, procesa datu manipulēšanu un mēģinājumus izvietot destruktīvu ļaunprogrammatūru. Kampaņa ir oportunistiska, mērķējot uz jebkuru pieejamu ierīci, nevis konkrētām organizācijām. Rezultātā visi operatori ar atklātiem PLC saskaras ar paaugstinātu risku. Visvairāk skartie sektori ir naftas un gāzes, ūdens un notekūdeņu, enerģētikas un valsts pakalpojumu nozares.

Pasākumi PLC un vadības sistēmu operatoriem risku mazināšanai

Galvenie aizsardzības pasākumi ietver:

  • Atvienot PLC no publiskā interneta, lai novērstu tiešu pakļautību.

  • Ieviest MFA visai OT tīkla piekļuvei.

  • Atjaunināt PLC programmaparatūru un atslēgt neizmantotos pakalpojumus.

  • Pastāvīgi uzraudzīt žurnālus aizdomīgu attālināto savienojumu noteikšanai.

  • Stiprināt incidentu reaģēšanas plānus ātrai ierobežošanai.

  • Apmācīt OT personālu par drošu PLC izvietošanu un interneta pakļautības riskiem.

Šie ieteikumi atbilst federālajām vadlīnijām un labākajām praksēm rūpniecisko vadības sistēmu drošības nodrošināšanā.

Lietojuma scenāriji — ICS drošības stiprināšana automatizācijas vidēs

  • Droša PLC izvietošana, izmantojot ugunsmūrus un segmentētus OT tīklus.

  • Pastāvīga EtherNet/IP trafika uzraudzība anomāliju noteikšanai.

  • HMI/SCADA integritātes pārbaudes, lai atklātu manipulētas procesa vērtības.

  • Katastrofu atjaunošanas plānošana iespējamām wiper ļaunprogrammatūras situācijām.

  • Nulles uzticības piekļuves kontrole attālinātai PLC un DCS uzturēšanai.

Par autoru 

Čens Juhangs ir vecākais rūpnieciskās automatizācijas speciālists ar vairāk nekā 15 gadu praktisku pieredzi PLC, DCS, TSI un enerģijas aizsardzības sistēmās. Viņa darbs koncentrējas uz inženiertehnisko ieviešanu, OT kiberdrošības nostiprināšanu un tehnisko dokumentāciju globāliem automatizācijas ražotājiem un nozares medijiem.

Atstājiet savu komentāru

Lūdzu, ņemiet vērā, ka komentāri ir jāapstiprina pirms to publicēšanas.

  • Ātrā piegāde
    Ātra piegāde, lai apmierinātu steidzamas vajadzības.

  • Plašs krājums

    Liels noliktavas apjoms nodrošina tūlītēju pieejamību.

  • Kvalitātes nodrošināšana

    Oriģinālas, augstas kvalitātes PLC un DCS detaļas.

  • Globālie pakalpojumi

    Sniedzam uzticamu atbalstu klientiem visā pasaulē.