Во вторник, когда США и Иран договорились о прекращении огня, шесть федеральных агентств США предупредили, что связанные с Ираном угрожающие акторы скомпрометировали программируемые логические контроллеры (ПЛК) в объектах критической инфраструктуры США, доступные через интернет.
Атаки, которые агентства связали с эскалацией напряженности между Ираном, США и Израилем, были нацелены на ПЛК производства Rockwell Automation и Allen-Bradley на объектах водоснабжения и водоотведения, энергетики и государственных учреждениях, включая местные муниципалитеты. По данным консультативного заключения, соавторами которого выступили ФБР, CISA, АНБ, Агентство по охране окружающей среды (EPA), Министерство энергетики и Киберкомандование США (Cyber National Mission Force), и опубликованного во вторник, эти атаки активны как минимум с марта 2026 года.
«Как минимум с марта 2026 года агентства-авторы выявили (посредством взаимодействия с организациями-жертвами) связанную с Ираном APT-группу, которая нарушала работу ПЛК», — говорится в консультативном заключении. «Эти ПЛК были развернуты в различных секторах критической инфраструктуры США (включая государственные услуги и объекты, водоснабжение/водоотведение и энергетику) в широком спектре процессов промышленной автоматизации. Некоторые из жертв столкнулись с операционными сбоями и финансовыми потерями».
Как злоумышленники получили доступ
Для осуществления этих манипуляций злоумышленники использовали арендованную зарубежную инфраструктуру и легитимное конфигурационное программное обеспечение Rockwell Automation для подключения к ПЛК жертв, в частности к устройствам CompactLogix и Micro850, которые были оставлены напрямую открытыми для публичного интернета, говорится в заключении.
Оказавшись внутри, они извлекали файлы проектов, изменяли данные на дисплеях SCADA и HMI, а также устанавливали программное обеспечение для удаленного доступа для сохранения постоянного присутствия, добавляется в сообщении.
В заключении также содержится предупреждение о том, что активность портов, связанная с протоколами ПЛК Siemens S7, «подразумевает, что эти злоумышленники могут также нацеливаться на устройства, произведенные компаниями, отличными от Rockwell Automation/Allen-Bradley».
Стив Поволны, вице-президент по стратегии ИИ и исследованиям безопасности в Exabeam, заявил, что кампания отражает давние структурные недостатки в средах операционных технологий (OT). «Программируемые логические контроллеры и поддерживающие стеки HMI часто развертываются на устаревшем оборудовании, работают на устаревших прошивках в течение многих лет и находятся внутри операционных сетей, которые изначально не проектировались с учетом устойчивости к атакам», — сказал он.
Габриэль Хемпель, стратег по операциям безопасности в Exabeam, отметила, что атаки выявили фундаментальную проблему проектирования. «Самое тревожное в этом отчете то, что иранские злоумышленники используют не изощренное вредоносное ПО или новые уязвимости нулевого дня, а доступные ПЛК и легкие цели для манипулирования системами и вызова сбоев», — сказала она. «Если среда OT доступна из интернета, это является неотъемлемым недостатком проектирования, а не проблемой, связанной с государством».
Повторяющийся иранский сценарий
Консультативное заключение связало текущую кампанию с моделью целенаправленных атак иранских государственных структур на промышленные системы управления США. Агентства-авторы ранее сообщали о схожей активности со стороны CyberAv3ngers, связанной с Киберэлектронным командованием Корпуса стражей исламской революции Ирана, которое скомпрометировало не менее 75 устройств Unitronics PLC в секторах водоснабжения, водоотведения и других объектах критической инфраструктуры, начиная с ноября 2023 года.
Текущая активность приписывается отдельной, хотя и связанной, группе APT-акторов, аффилированных с Ираном, говорится в заключении.
Агентства-авторы оценили, что группа «проводит эту деятельность с целью вызвать дестабилизирующие последствия в Соединенных Штатах». В заключении говорится, что эскалация, вероятно, связана с продолжающейся враждебностью между США, Ираном и Израилем.
Росс Филипек, директор по информационной безопасности в Corsica Technologies, отметил, что последствия даже частичных компрометаций выходят далеко за рамки отдельных организаций-жертв. «Если отключается муниципальное предприятие, это ощущают поставщики, больницы и региональные партнеры», — сказал он. «Каждая успешная или даже частично успешная кампания снижает барьер для следующей и побуждает акторов переходить от дефейса на уровне неудобств к реальному оперативному вмешательству».
Индикаторы компрометации и рекомендуемые действия
В консультативном заключении перечислены восемь IP-адресов, связанных с угрожающими акторами, активных еще с января 2025 года, а также загружаемые индикаторы компрометации. Организациям рекомендовано проверять свои журналы на предмет совпадений, особенно трафик на портах, связанных с OT, исходящий от зарубежных хостинг-провайдеров.
«Обеспечьте, чтобы весь доступ опосредовался, контролировался и регулировался», — говорится в заключении. Для контроллеров Rockwell Automation с физическим переключателем режима рекомендуется установить переключатель в положение «run» (работа) для блокировки удаленного изменения.
В заключении также возлагается ответственность на производителей устройств, заявляя: «В конечном счете ответственность производителя устройства заключается в создании продуктов, безопасных по замыслу и по умолчанию». Хемпель заявила, что этот принцип должен стать обязательной базовой нормой. ««Безопасность по замыслу» должна стать обязательным базовым требованием повсеместно», — сказала она.
Поволны отметил, что организациям следует рассматривать это заключение как активное предупреждение, а не как рутинное уведомление. «Противники сигнализируют о намерениях, возможностях и моделях доступа, и защитники должны реагировать, исходя из предположения, что разведывательная активность уже ведется», — сказал он.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain
