Iran atakuje Rockwell Automation

fot. pixabay

Tego samego dnia, w którym Stany Zjednoczone i Iran ogłosiły dwutygodniowe zawieszenie broni w trwającym miesiąc konflikcie, grupa amerykańskich organizacji rządowych wydała pilne ostrzeżenie o tym, że cyberprzestępcy powiązani z Iranem obrali sobie za cel podłączone do internetu urządzenia OT w USA, w tym sterowniki PLC Rockwell Automation i prawdopodobnie inne, takie jak Simatic S7.

Organizacje (FBI, CISA, NSA, EPA, DoE oraz CNMF) podkreśliły, że działania te doprowadziły do ​​zakłóceń w instalacjach infrastruktury krytycznej w wyniku złośliwych interakcji z plikami projektowymi i manipulowania danymi na wyświetlaczach HMI i SCADA, co spowodowało zakłócenia i straty finansowe.

Według ich przedstawicieli, grupa powiązanych z Iranem podmiotów atakuje urządzenia w sektorach krytycznych, takich jak usługi i obiekty rządowe, systemy wodno-kanalizacyjne oraz sektor energetyczny.

W ostrzeżeniu opublikowanym na stronie internetowej CISA agencje informują, że ze względu na powszechne wykorzystanie sterowników PLC i potencjalne ataki na inne urządzenia OT, amerykańscy użytkownicy automatyki przemysłowej powinni pilnie poszukiwać oznak obecnej lub historycznej aktywności w swoich sieciach i stosować środki zaradcze, aby zmniejszyć ryzyko ataku.

Od marca 2026 roku irańska grupa APT korzysta z zagranicznych adresów IP, aby uzyskać dostęp do sterowników PLC Rockwell podłączonych do Internetu, opierając się na dzierżawionej infrastrukturze hostowanej przez strony trzecie. Jej celem jest tworzenie połączeń z atakowanymi sterownikami PLC, w tym z urządzeniami Allen-Bradley CompactLogix i Micro850 PLC. Agencja CISA opublikowała listę adresów IP używanych w ostatnim czasie przez cyberprzestępców powiązanych z Iranem.

Agencje amerykańskie twierdzą, że jeśli właściciele i operatorzy odkryją zainfekowane urządzenia z dostępem do Internetu, mogą być konieczne do przedsięwzięcia dodatkowe środki zaradcze w celu oceny ryzyka naruszenia bezpieczeństwa.

(rr)