Кибератаки на ПЛК Rockwell Automation: как в 2026 году были скомпрометированы 4 000 промышленных устройств в США
Промышленная автоматизация сталкивается с беспрецедентными киберугрозами
Почти 4 000 устройств промышленной автоматизации в США — в основном ПЛК Rockwell Automation/Allen‑Bradley — подверглись кибератакам, поддерживаемым иранским государством, начиная с марта 2026 года. Эти инциденты нарушили работу, вынудили перейти на ручное управление и вызвали финансовые потери в критически важных секторах. Кроме того, несколько федеральных агентств подтвердили, что иранские группы APT эксплуатировали интернет-доступные системы управления, манипулировали отображениями HMI/SCADA и пытались совершить разрушительные действия с помощью вредоносного ПО типа wiper. В результате операторы в США столкнулись с повышенной необходимостью защищать активы автоматизации заводов.
Злоумышленники используют EtherNet/IP и уязвимую инфраструктуру ПЛК
Кампания была направлена на ПЛК, работающие по протоколу EtherNet/IP, широко используемому в промышленной автоматизации и процессных отраслях. По данным Censys, 5 219 глобальных хостов были идентифицированы как устройства Rockwell Automation/Allen‑Bradley, из которых 74,6% находились в США. Многие ПЛК работали через сотовые сети, что указывает на их развертывание в полевых условиях с ограниченной физической защитой. Кроме того, злоумышленники использовали техники MITRE ATT&CK, такие как Exploit Public‑Facing Application (T1190) и External Remote Services (T1133), чтобы получить доступ, извлечь проектные файлы и манипулировать операционными данными.
Манипуляции с отображениями HMI/SCADA нарушают управление процессами
Попав в среду ПЛК, злоумышленники изменяли отображения HMI и SCADA, ухудшая видимость процессов и вынуждая операторов переходить на ручное управление. Эта активность соответствует техникам Impair Process Control (T0813) и Stored Data Manipulation (T1565.001). В результате пострадавшие объекты столкнулись с повышенными рисками для безопасности и нестабильностью работы. Исходя из моего опыта в пусконаладке DCS и ПЛК, изменённые значения процессов могут вводить операторов в заблуждение и вызывать неправильные ручные вмешательства, особенно в системах водоочистки и энергетики.
Попытки использования вредоносного ПО типа wiper указывают на разрушительные намерения
В кампании были попытки развернуть вредоносное ПО типа wiper, предназначенное для удаления операционных данных. Хотя успех этих попыток остаётся неясным, аналогичные атаки произошли за несколько недель до этого, включая инцидент в марте 2026 года на предприятии Stryker, где было уничтожено около 80 000 устройств. Эта тенденция показывает, что злоумышленники обладают как возможностями, так и намерениями причинить разрушительный ущерб в промышленных средах. Кроме того, их понимание конфигураций ПЛК свидетельствует о глубоком знании промышленных протоколов и логики безопасности.
Хронология демонстрирует быстрое обострение промышленных киберугроз
Последовательность атак развивалась стремительно:
-
Март 2026: Масштабное нацеливание на интернет-доступные ПЛК Rockwell.
-
7 апреля 2026: Совместное федеральное предупреждение от CISA, FBI, NSA, DOE, EPA и U.S. Cyber Command.
-
10 апреля 2026: Публичные сообщения подтверждают широкое воздействие и продолжающуюся угрозу.
Ранее кампании были направлены на ПЛК Unitronics в период с 2023 по 2024 годы, скомпрометировав системы водоснабжения и очистки сточных вод. Таким образом, атаки 2026 года представляют собой продолжение долгосрочного иранского интереса к средам ICS.
Активность угроз демонстрирует глубокие знания ICS
Федеральные агентства с высокой степенью уверенности приписывают атаки иранским группам APT. Их тактики включают сканирование на наличие уязвимых ПЛК, эксплуатацию протоколов удалённого доступа, извлечение проектных файлов, манипуляцию процессными данными и попытки развертывания разрушительного вредоносного ПО. Кампания носит оппортунистический характер, нацеливаясь на любые доступные устройства, а не на конкретные организации. В результате все операторы с интернет-доступными ПЛК находятся в зоне повышенного риска. Наиболее пострадавшие отрасли включают нефтегазовую, водоснабжение и очистку сточных вод, энергетику и государственные службы.
Меры по снижению рисков для операторов ПЛК и систем управления
Ключевые защитные меры включают:
-
Отключение ПЛК от публичного интернета для устранения прямого доступа.
-
Внедрение MFA для всего доступа к OT-сетям.
-
Обновление прошивки ПЛК и отключение неиспользуемых сервисов.
-
Постоянный мониторинг журналов на предмет подозрительных удалённых подключений.
-
Усиление планов реагирования на инциденты для быстрого локализации угроз.
-
Обучение персонала OT безопасному развертыванию ПЛК и рискам интернет-экспозиции.
Эти рекомендации соответствуют федеральным руководствам и лучшим практикам по защите промышленных систем управления.
Сценарии применения — укрепление безопасности ICS в автоматизированных средах
-
Безопасное развертывание ПЛК с использованием межсетевых экранов и сегментированных OT-сетей.
-
Непрерывный мониторинг трафика EtherNet/IP на предмет аномалий.
-
Проверка целостности HMI/SCADA для обнаружения манипуляций с процессными значениями.
-
Планирование восстановления после сбоев на случай инцидентов с вредоносным ПО типа wiper.
-
Контроль доступа по принципу нулевого доверия для удалённого обслуживания активов ПЛК и DCS.
Об авторе
Чен Юханг — старший специалист по промышленной автоматизации с более чем 15-летним практическим опытом работы с ПЛК, DCS, TSI и системами защиты электропитания. Его работа сосредоточена на инженерной реализации, укреплении кибербезопасности OT и технической документации для мировых производителей автоматизации и отраслевых СМИ.