Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Иранские хакеры научились гасить заводы и электростанции удалённо. Конечно, ведь устройств с открытым доступом — тысячи

leer en español

Иран инфраструктура Rockwell Automation Allen-Bradley контроллеры
Иранские хакеры научились гасить заводы и электростанции удалённо. Конечно, ведь устройств с открытым доступом — тысячи
Иран инфраструктура Rockwell Automation Allen-Bradley контроллеры

4000 промышленных контроллеров висели в интернете. Заходи, кто хочет.

image

Иранские хакерские группы, связанные с государством, в последние месяцы сосредоточились на весьма конкретной цели внутри американской критической инфраструктуры: на контроллерах Rockwell Automation и Allen-Bradley, которые по-прежнему торчат в интернете тысячами. Проблема здесь не только в самом интересе атакующих. Новые данные показывают, что значительная часть таких промышленных устройств находится именно в США, причем нередко речь идет о системах, подключенных через сотовые модемы и работающих прямо на объектах.

О новой волне атак предупредили сразу несколько федеральных ведомств США. По их данным, с марта 2026 года иранские группы, которых американская сторона относит к государственным, начали целенаправленно атаковать PLC-устройства Rockwell Automation и Allen-Bradley в сетях американских организаций. Последствия уже вышли за рамки разведки: власти говорят об операционных сбоях и финансовом ущербе.

Следствие также установило, что атакующие не ограничивались простой проверкой доступа. В ходе кампании они вытаскивали файл проекта контроллера, где хранится логика работы системы, а затем вмешивались в данные, которые показываются на экранах HMI и SCADA. Для промышленной среды это уже не просто неприятный инцидент, а прямое вмешательство в то, как оператор видит и понимает состояние процесса. Если отображение искажено, персонал будет принимать решения на основе ложных данных. А дальше уже сработает эффект карточного домика

На следующий день после выхода американского предупреждения свою оценку опубликовала Censys. Компания насчитала 5219 доступных хостов по всему миру, которые отвечают по EtherNet/IP и сами идентифицируют себя как устройства Rockwell Automation или Allen-Bradley. Картина получилась крайне неравномерной: 74,6% всей мировой экспозиции приходится на США. В абсолютных цифрах это 3891 хост.

Отдельно исследователи обратили внимание на еще одну деталь. Непропорционально большая часть американских устройств оказалась в автономных системах мобильных операторов. Такой профиль обычно указывает на полевые установки, которые подключены через сотовые модемы, а не спрятаны внутри изолированных промышленных сетей. Для атакующих это особенно удобно: не нужно пробиваться глубоко внутрь корпоративной инфраструктуры, если часть промышленного оборудования уже выставлена наружу.

На практике речь идет о программируемых логических контроллерах, которые управляют физическими процессами. Такие устройства стоят на производстве, в коммунальной сфере, на объектах энергетики и в других сегментах критической инфраструктуры. Поэтому любой несанкционированный доступ к ним опасен не только утечкой данных.

Американские ведомства связывают нынешнюю эскалацию с обострением вокруг Ирана, США и Израиля. В предупреждении прямо говорится, что активность иранских APT-групп против американских организаций в последнее время усилилась, и, по всей видимости, кибератаки идут как часть более широкого политического конфликта. Для операторов критической инфраструктуры это означает неприятную вещь: обычная логика про случайный скан или opportunistic-атаку здесь уже не работает. Атакующие действуют целенаправленно и понимают, какие именно системы им нужны.

Какие рекомендации по защите? Главный совет - либо закрыть PLC за межсетевым экраном, либо вообще убрать их из прямой интернет-доступности. Дополнительно защитникам советуют проверить журналы на признаки вредоносной активности, отдельно посмотреть подозрительный трафик на OT-портах, особенно если он идет с зарубежных хостинг-площадок, и убедиться, что доступ в OT-сети защищен многофакторной аутентификацией. Также ведомства напоминают о базовых, но до сих пор болезненных мерах: обновлять прошивки и ПО на контроллерах, отключать неиспользуемые сервисы и убирать лишние способы аутентификации.

Нынешняя кампания хорошо укладывается в уже знакомую линию атак, за которой стоят иранские структуры и аффилированные с ними группы. Почти три года назад схожий сценарий разворачивался вокруг PLC Unitronics в США. Тогда группа CyberAv3ngers, которую связывают с Корпусом стражей исламской революции, атаковала уязвимости в американских OT-системах на базе Unitronics. В период с ноября 2023 года по январь 2024 года хакеры взломали как минимум 75 таких устройств в несколько волн. Причем около половины пришлось на объекты водоснабжения и очистки сточных вод, то есть на один из самых чувствительных сегментов критической инфраструктуры.

Есть и более свежий пример, уже вне сугубо промышленной темы, но из той же политической орбиты. Группу Handala, которую связывают с иранским министерством разведки, ранее обвинили в атаке на сеть американской медицинской компании Stryker. По имеющимся данным, там удалили примерно 80 тысяч устройств, включая мобильные аппараты сотрудников и персональные компьютеры под управлением компании.