Các cuộc tấn công mạng vào PLC của Rockwell Automation: Cách 4.000 thiết bị công nghiệp tại Mỹ bị lộ vào năm 2026
Tự động hóa công nghiệp đối mặt với rủi ro mạng chưa từng có
Gần 4.000 thiết bị tự động hóa công nghiệp tại Mỹ—chủ yếu là PLC Rockwell Automation/Allen‑Bradley—đã bị tấn công mạng do nhà nước Iran hậu thuẫn bắt đầu từ tháng 3 năm 2026. Các sự cố này đã làm gián đoạn hoạt động, buộc phải điều khiển thủ công và gây thiệt hại tài chính trên nhiều lĩnh vực quan trọng. Hơn nữa, nhiều cơ quan liên bang xác nhận các nhóm APT Iran đã khai thác các hệ thống điều khiển tiếp xúc internet, thao túng hiển thị HMI/SCADA và cố gắng thực hiện các hành động phá hoại bằng phần mềm độc hại wiper. Do đó, các nhà vận hành tại Mỹ đang đối mặt với sự cấp bách cao trong việc bảo vệ tài sản tự động hóa nhà máy.
Kẻ tấn công khai thác EtherNet/IP và hạ tầng PLC bị lộ
Chiến dịch nhắm vào các PLC giao tiếp qua EtherNet/IP, một giao thức phổ biến trong tự động hóa nhà máy và ngành công nghiệp quy trình. Theo dữ liệu của Censys, có 5.219 máy chủ toàn cầu được xác định là thiết bị Rockwell Automation/Allen‑Bradley, trong đó 74,6% nằm tại Hoa Kỳ. Nhiều PLC hoạt động trên mạng di động, cho thấy triển khai tại hiện trường với an ninh vật lý hạn chế. Ngoài ra, kẻ tấn công sử dụng các kỹ thuật MITRE ATT&CK như Exploit Public‑Facing Application (T1190) và External Remote Services (T1133) để truy cập, trích xuất tập tin dự án và thao túng dữ liệu vận hành.
Hiển thị HMI/SCADA bị thao túng gây gián đoạn điều khiển quy trình
Khi đã xâm nhập vào môi trường PLC, kẻ tấn công thay đổi hiển thị HMI và SCADA, làm giảm khả năng quan sát quy trình và buộc người vận hành chuyển sang điều khiển thủ công. Hoạt động này phù hợp với Impair Process Control (T0813) và Stored Data Manipulation (T1565.001). Do đó, các cơ sở bị ảnh hưởng phải đối mặt với rủi ro an toàn tăng cao và sự bất ổn trong vận hành. Dựa trên kinh nghiệm của tôi với việc triển khai DCS và PLC, các giá trị quy trình bị thao túng có thể gây hiểu lầm cho người vận hành và dẫn đến can thiệp thủ công sai, đặc biệt trong hệ thống xử lý nước và năng lượng.
Các nỗ lực sử dụng phần mềm độc hại wiper cho thấy ý định phá hoại
Chiến dịch bao gồm các nỗ lực triển khai phần mềm độc hại wiper nhằm xóa dữ liệu vận hành. Mặc dù chưa rõ mức độ thành công của các nỗ lực này, các cuộc tấn công tương tự đã xảy ra vài tuần trước đó, bao gồm sự cố tháng 3 năm 2026 tại Stryker, nơi khoảng 80.000 thiết bị bị xóa dữ liệu. Mô hình này cho thấy các tác nhân đe dọa vừa có khả năng vừa có ý định gây ra hậu quả phá hoại trong môi trường công nghiệp. Thêm vào đó, sự hiểu biết của họ về cấu hình PLC cho thấy sự am hiểu sâu sắc về giao thức công nghiệp và logic an toàn.
Dòng thời gian cho thấy sự leo thang nhanh chóng của các mối đe dọa mạng công nghiệp
Chuỗi tấn công leo thang nhanh chóng:
-
Tháng 3 năm 2026: Nhắm mục tiêu quy mô lớn các PLC Rockwell tiếp xúc internet.
-
Ngày 7 tháng 4 năm 2026: Cảnh báo liên bang chung được phát hành bởi CISA, FBI, NSA, DOE, EPA và U.S. Cyber Command.
-
Ngày 10 tháng 4 năm 2026: Báo cáo công khai xác nhận sự lộ diện rộng rãi và hoạt động đe dọa đang diễn ra.
Các chiến dịch trước đó nhắm vào PLC Unitronics trong giai đoạn 2023-2024, làm tổn hại hệ thống nước và xử lý nước thải. Do đó, các cuộc tấn công năm 2026 là sự tiếp nối của sự quan tâm lâu dài của Iran đối với môi trường ICS.
Hoạt động đe dọa cho thấy kiến thức sâu rộng về ICS
Các cơ quan liên bang xác định các cuộc tấn công thuộc về nhóm APT Iran với độ tin cậy cao. Chiến thuật của họ bao gồm quét các PLC bị lộ, khai thác giao thức truy cập từ xa, trích xuất tập tin dự án, thao túng dữ liệu quy trình và cố gắng triển khai phần mềm độc hại phá hoại. Chiến dịch mang tính cơ hội, nhắm vào bất kỳ thiết bị nào có thể truy cập thay vì tổ chức cụ thể. Do đó, tất cả nhà vận hành có PLC bị lộ đều đối mặt với rủi ro tăng cao. Các ngành bị ảnh hưởng nhiều nhất gồm dầu khí, nước và xử lý nước thải, năng lượng và dịch vụ chính phủ.
Hành động giảm thiểu cho nhà vận hành PLC và hệ thống điều khiển
Các biện pháp phòng thủ quan trọng bao gồm:
-
Ngắt kết nối PLC khỏi internet công cộng để loại bỏ sự tiếp xúc trực tiếp.
-
Áp dụng MFA cho tất cả truy cập mạng OT.
-
Cập nhật firmware PLC và vô hiệu hóa các dịch vụ không sử dụng.
-
Giám sát nhật ký liên tục để phát hiện kết nối từ xa đáng ngờ.
-
Tăng cường kế hoạch ứng phó sự cố để kịp thời ngăn chặn.
-
Đào tạo nhân sự OT về triển khai PLC an toàn và rủi ro tiếp xúc internet.
Các khuyến nghị này phù hợp với hướng dẫn liên bang và thực tiễn tốt nhất để bảo vệ hệ thống điều khiển công nghiệp.
Tình huống ứng dụng — Tăng cường an ninh ICS trong môi trường tự động hóa
-
Triển khai PLC an toàn sử dụng tường lửa và mạng OT phân đoạn.
-
Giám sát liên tục lưu lượng EtherNet/IP để phát hiện bất thường.
-
Kiểm tra tính toàn vẹn HMI/SCADA để phát hiện giá trị quy trình bị thao túng.
-
Lập kế hoạch khôi phục thảm họa cho các sự cố phần mềm độc hại wiper tiềm năng.
-
Kiểm soát truy cập zero‑trust cho bảo trì từ xa các tài sản PLC và DCS.
Về tác giả
Chen Yuhang là chuyên gia tự động hóa công nghiệp cao cấp với hơn 15 năm kinh nghiệm thực tiễn về PLC, DCS, TSI và hệ thống bảo vệ nguồn điện. Công việc của ông tập trung vào triển khai kỹ thuật, tăng cường an ninh mạng OT và tài liệu kỹ thuật cho các nhà sản xuất tự động hóa toàn cầu và truyền thông ngành.