Cybernapadi na Rockwell Automation PLC: Kako je 4.000 industrijskih uređaja u SAD izloženo 2026. godine
Industrijska automatizacija suočava se sa neviđenim sajber rizikom
Gotovo 4.000 američkih uređaja za industrijsku automatizaciju—uglavnom Rockwell Automation/Allen‑Bradley PLC-ova—bilo je izloženo sajbernapadima koje podržava iranska država počevši od marta 2026. godine. Ovi incidenti poremetili su rad, primorali na ručno upravljanje i prouzrokovali finansijske gubitke u ključnim sektorima. Štaviše, više saveznih agencija potvrdilo je da su iranske APT grupe iskorišćavale internet-izložene kontrolne sisteme, manipulisale HMI/SCADA prikazima i pokušavale destruktivne akcije koristeći wiper malver. Kao rezultat, američki operateri se suočavaju sa povećanom hitnošću da osiguraju imovinu fabrike automatizacije.
Napadači iskorišćavaju EtherNet/IP i izloženu PLC infrastrukturu
Kampanja je ciljala PLC-ove koji komuniciraju preko EtherNet/IP, široko korišćenog protokola u fabrčkoj automatizaciji i procesnim industrijama. Prema podacima Censys-a, identifikovano je 5.219 globalnih hostova kao Rockwell Automation/Allen‑Bradley uređaji, od kojih je 74,6% locirano u Sjedinjenim Državama. Mnogi PLC-ovi su radili na mobilnim mrežama, što ukazuje na terensku primenu sa ograničenom fizičkom bezbednošću. Pored toga, napadači su koristili MITRE ATT&CK tehnike kao što su Exploit Public‑Facing Application (T1190) i External Remote Services (T1133) da bi stekli pristup, izvukli projektne fajlove i manipulisali operativnim podacima.
Manipulisani HMI/SCADA prikazi ometaju kontrolu procesa
Kada su ušli u PLC okruženje, napadači su menjali HMI i SCADA prikaze, narušavajući vidljivost procesa i primoravajući operatere da pređu na ručno upravljanje. Ova aktivnost je u skladu sa Impair Process Control (T0813) i Stored Data Manipulation (T1565.001). Zbog toga su pogođeni objekti bili izloženi povećanim bezbednosnim rizicima i operativnoj nestabilnosti. Na osnovu mog iskustva sa DCS i PLC puštanjem u rad, manipulisane vrednosti procesa mogu zavarati operatere i izazvati pogrešne ručne intervencije, naročito u sistemima za preradu vode i energetici.
Pokušaji wiper malvera ukazuju na destruktivne namere
Kampanja je uključivala pokušaje implementacije wiper malvera dizajniranog da briše operativne podatke. Iako uspeh ovih pokušaja nije jasan, slični napadi su se dogodili nedeljama ranije, uključujući incident u martu 2026. godine u kompaniji Stryker, gde je obrisano oko 80.000 uređaja. Ovaj obrazac pokazuje da pretnja poseduje i sposobnost i nameru da izazove destruktivne posledice u industrijskim okruženjima. Takođe, njihovo razumevanje PLC konfiguracija ukazuje na duboku poznatost industrijskih protokola i sigurnosne logike.
Vremenska linija pokazuje brzu eskalaciju industrijskih sajber pretnji
Redosled napada brzo se povećavao:
-
Mart 2026: Masovno ciljanje internet-izloženih Rockwell PLC-ova.
-
7. april 2026: Zajedničko savezno upozorenje koje su izdale CISA, FBI, NSA, DOE, EPA i U.S. Cyber Command.
-
10. april 2026: Javna izveštavanja potvrđuju široku izloženost i kontinuiranu pretnju.
Prethodne kampanje su ciljale Unitronics PLC-ove između 2023. i 2024. godine, kompromitujući sisteme za vodu i otpadne vode. Stoga napadi iz 2026. predstavljaju nastavak dugoročnog iranskog interesa za ICS okruženja.
Aktivnost pretnji pokazuje duboko znanje o ICS
Savezne agencije sa visokim stepenom sigurnosti pripisuju napade iranskim APT grupama. Njihove taktike uključuju skeniranje izloženih PLC-ova, iskorišćavanje protokola za daljinski pristup, izvlačenje projektnih fajlova, manipulaciju procesnim podacima i pokušaje implementacije destruktivnog malvera. Kampanja je oportunistička, cilja bilo koji dostupni uređaj, a ne specifične organizacije. Kao rezultat, svi operateri sa izloženim PLC-ovima suočavaju se sa povećanim rizikom. Najpogođeniji sektori su nafta i gas, voda i otpadne vode, energija i državne usluge.
Preporučene mere za operatere PLC i kontrolnih sistema
Ključne odbrambene mere uključuju:
-
Isključivanje PLC-ova sa javnog interneta radi eliminisanja direktne izloženosti.
-
Primena MFA za sav pristup OT mreži.
-
Ažuriranje PLC firmvera i onemogućavanje neiskorišćenih servisa.
-
Kontinuirano praćenje logova radi otkrivanja sumnjivih daljinskih konekcija.
-
Jačanje planova za odgovor na incidente radi brze kontrole štete.
-
Obuka OT osoblja o sigurnom postavljanju PLC-ova i rizicima izloženosti internetu.
Ove preporuke su u skladu sa saveznim smernicama i najboljim praksama za zaštitu industrijskih kontrolnih sistema.
Scenariji primene — Jačanje ICS bezbednosti u automatizovanim okruženjima
-
Sigurna implementacija PLC-ova korišćenjem firewall-a i segmentisanih OT mreža.
-
Kontinuirano praćenje EtherNet/IP saobraćaja radi otkrivanja anomalija.
-
Provere integriteta HMI/SCADA za detekciju manipulisane procesne vrednosti.
-
Planiranje oporavka od katastrofa za potencijalne incidente sa wiper malverom.
-
Zero-trust kontrola pristupa za daljinski održavanje PLC i DCS imovine.
O autoru
Chen Yuhang je viši stručnjak za industrijsku automatizaciju sa više od 15 godina praktičnog iskustva u radu sa PLC, DCS, TSI i sistemima za zaštitu napajanja. Njegov rad je fokusiran na inženjersku implementaciju, jačanje OT sajber bezbednosti i tehničku dokumentaciju za globalne proizvođače automatizacije i industrijske medije.