Rockwell Automation PLC Cyberattacks: How 4,000 U.S. Industrial Devices Were Exposed in 2026

Serangan Siber PLC Rockwell Automation: Bagaimana 4,000 Peranti Industri AS Terdedah pada 2026

Automasi Industri Menghadapi Risiko Siber yang Belum Pernah Terjadi Sebelumnya

Hampir 4,000 peranti automasi industri di AS—terutamanya Rockwell Automation/Allen‑Bradley PLC—terdedah kepada serangan siber yang disokong oleh negara Iran bermula Mac 2026. Insiden ini mengganggu operasi, memaksa kawalan manual, dan menyebabkan kerugian kewangan di pelbagai sektor kritikal. Selain itu, beberapa agensi persekutuan mengesahkan bahawa kumpulan APT Iran mengeksploitasi sistem kawalan yang berhadapan dengan internet, memanipulasi paparan HMI/SCADA, dan cuba melakukan tindakan pemusnahan menggunakan perisian hasad wiper. Akibatnya, pengendali AS menghadapi keperluan mendesak untuk mengamankan aset automasi kilang.

Penyerang Mengeksploitasi EtherNet/IP dan Infrastruktur PLC yang Terbuka

Kempen ini menyasarkan PLC yang berkomunikasi melalui EtherNet/IP, protokol yang banyak digunakan dalam automasi kilang dan industri proses. Menurut data Censys, 5,219 hos global dikenal pasti sebagai peranti Rockwell Automation/Allen‑Bradley, dengan 74.6% terletak di Amerika Syarikat. Banyak PLC beroperasi di rangkaian selular, menunjukkan penempatan di lapangan dengan keselamatan fizikal yang terhad. Selain itu, penyerang menggunakan teknik MITRE ATT&CK seperti Exploit Public‑Facing Application (T1190) dan External Remote Services (T1133) untuk mendapatkan akses, mengekstrak fail projek, dan memanipulasi data operasi.

Paparan HMI/SCADA yang Dimanipulasi Mengganggu Kawalan Proses

Setelah berada dalam persekitaran PLC, penyerang mengubah paparan HMI dan SCADA, mengurangkan keterlihatan proses dan memaksa pengendali beralih ke operasi manual. Aktiviti ini selaras dengan Impair Process Control (T0813) dan Stored Data Manipulation (T1565.001). Oleh itu, kemudahan yang terjejas menghadapi risiko keselamatan yang meningkat dan ketidakstabilan operasi. Berdasarkan pengalaman saya dengan pengkomisian DCS dan PLC, nilai proses yang dimanipulasi boleh mengelirukan pengendali dan menyebabkan campur tangan manual yang salah, terutamanya dalam sistem rawatan air dan tenaga.

Cubaan Perisian Hasad Wiper Menunjukkan Niat Pemusnahan

Kempen ini termasuk cubaan untuk menyebarkan perisian hasad wiper yang direka untuk memadam data operasi. Walaupun kejayaan cubaan ini tidak jelas, serangan serupa berlaku beberapa minggu sebelum itu, termasuk insiden Mac 2026 di Stryker, di mana kira-kira 80,000 peranti dipadamkan. Corak ini menunjukkan bahawa pelaku ancaman mempunyai keupayaan dan niat untuk menyebabkan hasil pemusnahan dalam persekitaran industri. Selain itu, pemahaman mereka tentang konfigurasi PLC menunjukkan pengetahuan mendalam mengenai protokol industri dan logik keselamatan.

Garis Masa Menunjukkan Peningkatan Cepat Ancaman Siber Industri

Susunan serangan meningkat dengan cepat:

  • Mac 2026: Penargetan berskala besar terhadap PLC Rockwell yang terdedah kepada internet.

  • 7 April 2026: Pemberitahuan bersama dikeluarkan oleh CISA, FBI, NSA, DOE, EPA, dan U.S. Cyber Command.

  • 10 April 2026: Laporan awam mengesahkan pendedahan meluas dan aktiviti ancaman yang berterusan.

Kempen sebelum ini menyasarkan PLC Unitronics antara 2023 dan 2024, yang menjejaskan sistem air dan kumbahan. Oleh itu, serangan 2026 mewakili kesinambungan minat jangka panjang Iran dalam persekitaran ICS.

Aktiviti Ancaman Menunjukkan Pengetahuan Mendalam tentang ICS

Agensi persekutuan mengaitkan serangan ini kepada kumpulan APT Iran dengan keyakinan tinggi. Taktik mereka termasuk mengimbas PLC yang terdedah, mengeksploitasi protokol akses jauh, mengekstrak fail projek, memanipulasi data proses, dan cuba menyebarkan perisian hasad pemusnah. Kempen ini bersifat oportunistik, menyasarkan mana-mana peranti yang boleh diakses dan bukannya organisasi tertentu. Oleh itu, semua pengendali dengan PLC yang terdedah menghadapi risiko yang tinggi. Sektor yang paling terjejas termasuk minyak dan gas, air dan kumbahan, tenaga, dan perkhidmatan kerajaan.

Tindakan Mitigasi untuk Pengendali PLC dan Sistem Kawalan

Tindakan pertahanan kritikal termasuk:

  • Putuskan sambungan PLC dari internet awam untuk menghapuskan pendedahan langsung.

  • Gunakan MFA untuk semua akses rangkaian OT.

  • Kemas kini firmware PLC dan matikan perkhidmatan yang tidak digunakan.

  • Pantau log secara berterusan untuk sambungan jauh yang mencurigakan.

  • Kukuhkan pelan tindak balas insiden untuk pengawalan cepat.

  • Latih kakitangan OT mengenai penyebaran PLC yang selamat dan risiko pendedahan internet.

Cadangan ini selaras dengan panduan persekutuan dan amalan terbaik untuk mengamankan sistem kawalan industri.

Senario Aplikasi — Memperkukuh Keselamatan ICS dalam Persekitaran Automasi

  • Penyebaran PLC yang selamat menggunakan firewall dan rangkaian OT yang bersegmen.

  • Pemantauan berterusan trafik EtherNet/IP untuk anomali.

  • Pemeriksaan integriti HMI/SCADA untuk mengesan nilai proses yang dimanipulasi.

  • Perancangan pemulihan bencana untuk kemungkinan insiden perisian hasad wiper.

  • Kawalan akses zero‑trust untuk penyelenggaraan jauh aset PLC dan DCS.

Tentang Penulis 

Chen Yuhang adalah pakar automasi industri kanan dengan pengalaman lebih 15 tahun dalam PLC, DCS, TSI, dan sistem perlindungan kuasa. Kerjanya memfokuskan pada pelaksanaan kejuruteraan, pengukuhan keselamatan siber OT, dan dokumentasi teknikal untuk pengeluar automasi global serta media industri.

Tinggalkan komen

Sila ambil perhatian, ulasan perlu diluluskan sebelum ia diterbitkan.

  • Penghantaran Ekspres
    Penghantaran pantas untuk memenuhi keperluan segera.

  • Inventori Luas

    Stok yang banyak memastikan ketersediaan segera.

  • Jaminan Kualiti

    Alat ganti PLC & DCS asli dan berkualiti tinggi.

  • Perkhidmatan Global

    Memberi perkhidmatan kepada pelanggan di seluruh dunia dengan sokongan yang boleh dipercayai.