Rockwell Automation PLC Cyberattacks: How 4,000 U.S. Industrial Devices Were Exposed in 2026

Кибератаки на ПЛК Rockwell Automation: как в 2026 году были скомпрометированы 4 000 промышленных устройств в США

Промышленная автоматизация сталкивается с беспрецедентными киберугрозами

Почти 4 000 устройств промышленной автоматизации в США — в основном ПЛК Rockwell Automation/Allen‑Bradley — подверглись кибератакам, поддерживаемым иранским государством, начиная с марта 2026 года. Эти инциденты нарушили работу, вынудили перейти на ручное управление и вызвали финансовые потери в критически важных секторах. Кроме того, несколько федеральных агентств подтвердили, что иранские группы APT эксплуатировали интернет-доступные системы управления, манипулировали отображениями HMI/SCADA и пытались совершить разрушительные действия с помощью вредоносного ПО типа wiper. В результате операторы в США столкнулись с повышенной необходимостью защищать активы автоматизации заводов.

Злоумышленники используют EtherNet/IP и уязвимую инфраструктуру ПЛК

Кампания была направлена на ПЛК, работающие по протоколу EtherNet/IP, широко используемому в промышленной автоматизации и процессных отраслях. По данным Censys, 5 219 глобальных хостов были идентифицированы как устройства Rockwell Automation/Allen‑Bradley, из которых 74,6% находились в США. Многие ПЛК работали через сотовые сети, что указывает на их развертывание в полевых условиях с ограниченной физической защитой. Кроме того, злоумышленники использовали техники MITRE ATT&CK, такие как Exploit Public‑Facing Application (T1190) и External Remote Services (T1133), чтобы получить доступ, извлечь проектные файлы и манипулировать операционными данными.

Манипуляции с отображениями HMI/SCADA нарушают управление процессами

Попав в среду ПЛК, злоумышленники изменяли отображения HMI и SCADA, ухудшая видимость процессов и вынуждая операторов переходить на ручное управление. Эта активность соответствует техникам Impair Process Control (T0813) и Stored Data Manipulation (T1565.001). В результате пострадавшие объекты столкнулись с повышенными рисками для безопасности и нестабильностью работы. Исходя из моего опыта в пусконаладке DCS и ПЛК, изменённые значения процессов могут вводить операторов в заблуждение и вызывать неправильные ручные вмешательства, особенно в системах водоочистки и энергетики.

Попытки использования вредоносного ПО типа wiper указывают на разрушительные намерения

В кампании были попытки развернуть вредоносное ПО типа wiper, предназначенное для удаления операционных данных. Хотя успех этих попыток остаётся неясным, аналогичные атаки произошли за несколько недель до этого, включая инцидент в марте 2026 года на предприятии Stryker, где было уничтожено около 80 000 устройств. Эта тенденция показывает, что злоумышленники обладают как возможностями, так и намерениями причинить разрушительный ущерб в промышленных средах. Кроме того, их понимание конфигураций ПЛК свидетельствует о глубоком знании промышленных протоколов и логики безопасности.

Хронология демонстрирует быстрое обострение промышленных киберугроз

Последовательность атак развивалась стремительно:

  • Март 2026: Масштабное нацеливание на интернет-доступные ПЛК Rockwell.

  • 7 апреля 2026: Совместное федеральное предупреждение от CISA, FBI, NSA, DOE, EPA и U.S. Cyber Command.

  • 10 апреля 2026: Публичные сообщения подтверждают широкое воздействие и продолжающуюся угрозу.

Ранее кампании были направлены на ПЛК Unitronics в период с 2023 по 2024 годы, скомпрометировав системы водоснабжения и очистки сточных вод. Таким образом, атаки 2026 года представляют собой продолжение долгосрочного иранского интереса к средам ICS.

Активность угроз демонстрирует глубокие знания ICS

Федеральные агентства с высокой степенью уверенности приписывают атаки иранским группам APT. Их тактики включают сканирование на наличие уязвимых ПЛК, эксплуатацию протоколов удалённого доступа, извлечение проектных файлов, манипуляцию процессными данными и попытки развертывания разрушительного вредоносного ПО. Кампания носит оппортунистический характер, нацеливаясь на любые доступные устройства, а не на конкретные организации. В результате все операторы с интернет-доступными ПЛК находятся в зоне повышенного риска. Наиболее пострадавшие отрасли включают нефтегазовую, водоснабжение и очистку сточных вод, энергетику и государственные службы.

Меры по снижению рисков для операторов ПЛК и систем управления

Ключевые защитные меры включают:

  • Отключение ПЛК от публичного интернета для устранения прямого доступа.

  • Внедрение MFA для всего доступа к OT-сетям.

  • Обновление прошивки ПЛК и отключение неиспользуемых сервисов.

  • Постоянный мониторинг журналов на предмет подозрительных удалённых подключений.

  • Усиление планов реагирования на инциденты для быстрого локализации угроз.

  • Обучение персонала OT безопасному развертыванию ПЛК и рискам интернет-экспозиции.

Эти рекомендации соответствуют федеральным руководствам и лучшим практикам по защите промышленных систем управления.

Сценарии применения — укрепление безопасности ICS в автоматизированных средах

  • Безопасное развертывание ПЛК с использованием межсетевых экранов и сегментированных OT-сетей.

  • Непрерывный мониторинг трафика EtherNet/IP на предмет аномалий.

  • Проверка целостности HMI/SCADA для обнаружения манипуляций с процессными значениями.

  • Планирование восстановления после сбоев на случай инцидентов с вредоносным ПО типа wiper.

  • Контроль доступа по принципу нулевого доверия для удалённого обслуживания активов ПЛК и DCS.

Об авторе 

Чен Юханг — старший специалист по промышленной автоматизации с более чем 15-летним практическим опытом работы с ПЛК, DCS, TSI и системами защиты электропитания. Его работа сосредоточена на инженерной реализации, укреплении кибербезопасности OT и технической документации для мировых производителей автоматизации и отраслевых СМИ.

Комментировать

Обратите внимание, что комментарии проходят одобрение перед публикацией.

  • Экспресс-доставка
    Быстрая доставка для удовлетворения срочных потребностей.

  • Обширный ассортимент

    Большие запасы гарантируют мгновенную доступность.

  • Гарантия качества

    Оригинальные, высококачественные детали для ПЛК и ДКС.

  • Глобальное обслуживание

    Обслуживание клиентов по всему миру с надежной поддержкой.