การโจมตีทางไซเบอร์ของ Rockwell Automation PLC: อุปกรณ์อุตสาหกรรมในสหรัฐฯ 4,000 เครื่องถูกเปิดเผยในปี 2026
ระบบอัตโนมัติในอุตสาหกรรมเผชิญความเสี่ยงไซเบอร์ที่ไม่เคยมีมาก่อน
อุปกรณ์ ระบบอัตโนมัติในอุตสาหกรรม เกือบ 4,000 เครื่องในสหรัฐอเมริกา—ส่วนใหญ่เป็น Rockwell Automation/Allen‑Bradley PLCs—ถูกโจมตีทางไซเบอร์โดยกลุ่มรัฐอิหร่านตั้งแต่เดือนมีนาคม 2026 เหตุการณ์เหล่านี้ทำให้การดำเนินงานหยุดชะงัก บังคับให้ควบคุมด้วยมือ และก่อให้เกิดความเสียหายทางการเงินในหลายภาคส่วนที่สำคัญ นอกจากนี้ หน่วยงานรัฐบาลหลายแห่งยืนยันว่ากลุ่ม APT ของอิหร่านใช้ประโยชน์จากระบบ control systems ที่เชื่อมต่ออินเทอร์เน็ต ปรับแต่งการแสดงผล HMI/SCADA และพยายามดำเนินการทำลายด้วยมัลแวร์ประเภท wiper ส่งผลให้ผู้ปฏิบัติงานในสหรัฐฯ ต้องเร่งดำเนินการรักษาความปลอดภัยทรัพย์สินระบบอัตโนมัติในโรงงาน
ผู้โจมตีใช้ประโยชน์จาก EtherNet/IP และโครงสร้างพื้นฐาน PLC ที่เปิดเผย
แคมเปญนี้มุ่งเป้าไปที่ PLC ที่สื่อสารผ่าน EtherNet/IP โปรโตคอลที่ใช้กันอย่างแพร่หลายใน factory automation และอุตสาหกรรมกระบวนการ ตามข้อมูลจาก Censys พบโฮสต์ทั่วโลก 5,219 เครื่องที่ระบุว่าเป็นอุปกรณ์ Rockwell Automation/Allen‑Bradley โดย 74.6% อยู่ในสหรัฐอเมริกา PLC หลายเครื่องทำงานผ่านเครือข่ายเซลลูลาร์ ซึ่งบ่งชี้ว่าถูกติดตั้งในพื้นที่ที่มีความปลอดภัยทางกายภาพจำกัด นอกจากนี้ ผู้โจมตีใช้เทคนิค MITRE ATT&CK เช่น Exploit Public‑Facing Application (T1190) และ External Remote Services (T1133) เพื่อเข้าถึง ดึงไฟล์โปรเจกต์ และปรับแต่งข้อมูลการดำเนินงาน
การปรับแต่งการแสดงผล HMI/SCADA ทำให้การควบคุมกระบวนการหยุดชะงัก
เมื่อเข้าสู่สภาพแวดล้อม PLC ผู้โจมตีได้เปลี่ยนแปลงการแสดงผล HMI และ SCADA ทำให้การมองเห็นกระบวนการบกพร่องและบังคับให้ผู้ปฏิบัติงานต้องเปลี่ยนไปใช้การควบคุมด้วยมือ กิจกรรมนี้สอดคล้องกับ Impair Process Control (T0813) และ Stored Data Manipulation (T1565.001) ส่งผลให้สถานที่ที่ได้รับผลกระทบเผชิญความเสี่ยงด้านความปลอดภัยเพิ่มขึ้นและความไม่เสถียรในการดำเนินงาน จากประสบการณ์ของผมในการติดตั้ง DCS และ PLC ค่ากระบวนการที่ถูกปรับแต่งสามารถทำให้ผู้ปฏิบัติงานเข้าใจผิดและทำการแทรกแซงด้วยมือผิดพลาด โดยเฉพาะในระบบบำบัดน้ำและพลังงาน
ความพยายามใช้มัลแวร์ wiper แสดงเจตนาทำลายล้าง
แคมเปญนี้รวมถึงความพยายามในการปล่อยมัลแวร์ประเภท wiper ที่ออกแบบมาเพื่อลบข้อมูลการดำเนินงาน แม้ว่าความสำเร็จของความพยายามเหล่านี้ยังไม่ชัดเจน แต่การโจมตีในลักษณะเดียวกันเกิดขึ้นก่อนหน้านี้ไม่กี่สัปดาห์ รวมถึงเหตุการณ์ในเดือนมีนาคม 2026 ที่ Stryker ซึ่งอุปกรณ์ประมาณ 80,000 เครื่องถูกลบข้อมูล รูปแบบนี้แสดงให้เห็นว่าผู้คุกคามมีทั้งความสามารถและเจตนาที่จะก่อให้เกิดผลลัพธ์ทำลายล้างในสภาพแวดล้อมอุตสาหกรรม นอกจากนี้ ความเข้าใจในโครงสร้าง PLC ของพวกเขายังบ่งชี้ถึงความคุ้นเคยลึกซึ้งกับโปรโตคอลอุตสาหกรรมและตรรกะความปลอดภัย
ไทม์ไลน์แสดงการเพิ่มขึ้นอย่างรวดเร็วของภัยคุกคามไซเบอร์ในอุตสาหกรรม
ลำดับเหตุการณ์โจมตีเพิ่มขึ้นอย่างรวดเร็ว:
-
มีนาคม 2026: การโจมตีขนาดใหญ่ที่มุ่งเป้าไปที่ Rockwell PLC ที่เปิดเผยบนอินเทอร์เน็ต
-
7 เมษายน 2026: การแจ้งเตือนร่วมจากหน่วยงานรัฐบาล CISA, FBI, NSA, DOE, EPA และ U.S. Cyber Command
-
10 เมษายน 2026: รายงานสาธารณะยืนยันการเปิดเผยอย่างกว้างขวางและกิจกรรมภัยคุกคามที่ยังดำเนินอยู่
แคมเปญก่อนหน้านี้มุ่งเป้าไปที่ Unitronics PLC ระหว่างปี 2023 ถึง 2024 ซึ่งส่งผลกระทบต่อระบบน้ำและน้ำเสีย ดังนั้น การโจมตีในปี 2026 จึงเป็นการต่อเนื่องของความสนใจระยะยาวของอิหร่านในสภาพแวดล้อม ICS
กิจกรรมภัยคุกคามแสดงความรู้ลึกซึ้งเกี่ยวกับ ICS
หน่วยงานรัฐบาลระบุว่าการโจมตีมาจากกลุ่ม APT ของอิหร่านด้วยความมั่นใจสูง กลยุทธ์ของพวกเขารวมถึงการสแกนหา PLC ที่เปิดเผย ใช้ประโยชน์จากโปรโตคอลการเข้าถึงระยะไกล ดึงไฟล์โปรเจกต์ ปรับแต่งข้อมูลกระบวนการ และพยายามปล่อยมัลแวร์ทำลายล้าง แคมเปญนี้เป็นโอกาส มุ่งเป้าไปที่อุปกรณ์ที่เข้าถึงได้แทนที่จะเป็นองค์กรเฉพาะ ส่งผลให้ผู้ปฏิบัติงานทุกคนที่มี PLC เปิดเผยเผชิญความเสี่ยงสูง ภาคส่วนที่ได้รับผลกระทบมากที่สุด ได้แก่ น้ำมันและก๊าซ น้ำและน้ำเสีย พลังงาน และบริการรัฐบาล
มาตรการลดความเสี่ยงสำหรับผู้ปฏิบัติงาน PLC และระบบควบคุม
มาตรการป้องกันที่สำคัญได้แก่:
-
ตัดการเชื่อมต่อ PLC จากอินเทอร์เน็ตสาธารณะ เพื่อลดการเปิดเผยโดยตรง
-
บังคับใช้ MFA สำหรับการเข้าถึงเครือข่าย OT ทุกกรณี
-
อัปเดตเฟิร์มแวร์ PLC และปิดการใช้งานบริการที่ไม่ใช้
-
ตรวจสอบบันทึกอย่างต่อเนื่อง เพื่อหาการเชื่อมต่อระยะไกลที่น่าสงสัย
-
เสริมแผนตอบสนองเหตุการณ์ เพื่อการควบคุมอย่างรวดเร็ว
-
ฝึกอบรมบุคลากร OT เกี่ยวกับการติดตั้ง PLC อย่างปลอดภัยและความเสี่ยงจากการเปิดเผยบนอินเทอร์เน็ต
คำแนะนำเหล่านี้สอดคล้องกับแนวทางรัฐบาลและแนวปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยระบบควบคุมอุตสาหกรรม
สถานการณ์การใช้งาน — การเสริมความแข็งแกร่งด้านความปลอดภัย ICS ในสภาพแวดล้อมอัตโนมัติ
-
ติดตั้ง PLC อย่างปลอดภัย โดยใช้ไฟร์วอลล์และเครือข่าย OT แยกส่วน
-
ตรวจสอบการจราจร EtherNet/IP อย่างต่อเนื่อง เพื่อหาความผิดปกติ
-
ตรวจสอบความสมบูรณ์ของ HMI/SCADA เพื่อค้นหาค่ากระบวนการที่ถูกปรับแต่ง
-
วางแผนกู้คืนจากภัยพิบัติ สำหรับเหตุการณ์มัลแวร์ wiper ที่อาจเกิดขึ้น
-
ควบคุมการเข้าถึงแบบ zero‑trust สำหรับการบำรุงรักษาระยะไกลของทรัพย์สิน PLC และ DCS
เกี่ยวกับผู้เขียน
Chen Yuhang เป็นผู้เชี่ยวชาญระบบอัตโนมัติในอุตสาหกรรมอาวุโสที่มีประสบการณ์มากกว่า 15 ปีในด้าน PLC, DCS, TSI และ power protection systems งานของเขามุ่งเน้นที่การดำเนินงานด้านวิศวกรรม การเสริมความแข็งแกร่งด้านความปลอดภัยไซเบอร์ OT และเอกสารทางเทคนิคสำหรับผู้ผลิตระบบอัตโนมัติระดับโลกและสื่ออุตสาหกรรม