Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

SSH-доступ и порт 44818 — классика. Иранская группа напомнила, что «защищённое» оборудование — это миф

leer en español

Иран ФБР CISA NSA Rockwell Automation PLC критическая инфраструктура
SSH-доступ и порт 44818 — классика. Иранская группа напомнила, что «защищённое» оборудование — это миф
Иран ФБР CISA NSA Rockwell Automation PLC критическая инфраструктура

Стандартные способы защиты не сработали против новой тактики.

image

Американские власти предупредили о новой волне атак на промышленное оборудование, которая уже затронула критически важные объекты. Речь идёт не о точечных инцидентах, а о целенаправленной кампании, способной нарушать работу инфраструктуры и приносить финансовый ущерб.

Совместное уведомление опубликовали ФБР, Агентство по кибербезопасности и защите инфраструктуры, АНБ и другие ведомства. По их данным, группа, связанная с Ираном, атакует программируемые логические контроллеры, используемые на объектах энергетики, водоснабжения и в муниципальных системах.

Злоумышленники выбирают устройства, напрямую доступные из интернета. Основная цель — контроллеры Rockwell Automation линейки Allen-Bradley, однако под удар могут попасть и решения других производителей. Через такие устройства атакующие получают доступ к промышленным процессам и вмешиваются в их работу.

В ходе атак фиксировали изменение данных на интерфейсах операторов и в системах SCADA. Параллельно злоумышленники извлекали проектные файлы контроллеров. В ряде случаев такие действия уже привели к сбоям в работе и денежным потерям у организаций.

Для подключения к устройствам атакующие используют легитимное программное обеспечение и инфраструктуру сторонних хостинг-провайдеров. Входящий трафик проходит через типовые порты промышленного оборудования, включая 44818, 2222 и 502. Дополнительно на скомпрометированных системах разворачивают SSH-доступ, чтобы закрепиться и управлять устройствами удалённо.

Активность усилилась весной 2026 года. Ведомства связывают рост атак с геополитической напряжённостью и считают, что кампания направлена на создание сбоев внутри США. Ранее похожие операции уже проводила группа CyberAv3ngers, которую связывают с иранскими структурами.

Организациям рекомендуют срочно убрать контроллеры из прямого доступа в интернет, проверить журналы событий и обратить внимание на подозрительный трафик с зарубежных адресов. Также советуют усилить аутентификацию, ограничить удалённый доступ и регулярно обновлять программное обеспечение.

Отдельный акцент сделали на базовых мерах безопасности. Производителям оборудования напомнили о необходимости закладывать защиту по умолчанию, чтобы пользователям не приходилось самостоятельно закрывать критические уязвимости.