Коалиция ведущих агентств безопасности и инфраструктуры США выпустила срочное совместное предупреждение о том, что иранские государственные продвинутые постоянные угрозы (APT) активно атакуют и компрометируют программируемые логические контроллеры (ПЛК), доступные из интернета. Эти атаки, сфокусированные на оборудовании крупного поставщика промышленной автоматизации Rockwell Automation/Allen-Bradley, нацелены на американские организации в критических секторах, включая государственные объекты, системы водоснабжения и водоотведения, а также энергетику. В предупреждении, подготовленном ФБР, CISA, АНБ, Агентством по охране окружающей среды (EPA), Министерством энергетики (DOE) и Киберкомандованием США (Силы кибернациональной миссии, CNMF), говорится, что эти продолжающиеся кампании уже привели к финансовым потерям и операционным сбоям, по крайней мере, с марта 2026 года. Агентства оценивают, что целью является нанесение ощутимого ущерба, включая злонамеренное манипулирование промышленными проектными файлами и данными, отображаемыми на критически важных человеко-машинных интерфейсах (HMI) и системах диспетчерского управления и сбора данных (SCADA).
В предупреждении дается суровая оценка мотивов и возможностей злоумышленников. «ФБР оценивает, что группа иранских APT-акторов нацелена на ПЛК, доступные из интернета, с намерением вызвать сбои — включая злонамеренное взаимодействие с проектными файлами и манипулирование данными, отображаемыми на HMI и SCADA-дисплеях — в организациях критической инфраструктуры США», — говорится в предупреждении. Далее отмечается тревожная эскалация: «Кампании иранских APT-акторов против американских организаций недавно обострились, вероятно, в ответ на враждебные действия между Ираном, США и Израилем». Это указывает на сдвиг от шпионажа и кражи данных к потенциально разрушительным киберфизическим операциям, которые могут повлиять на основные услуги.
Технические детали кампании подчеркивают критическую уязвимость в безопасности операционных технологий (ОТ): прямое воздействие интернета на промышленные системы управления (АСУ ТП). Сканируя и получая доступ к плохо защищенным ПЛК Rockwell, угрозовые акторы могут загружать вредоносную логику в контроллеры. Это позволяет им не только нарушать процессы, но и манипулировать данными обратной связи, отправляемыми на рабочие станции операторов, создавая опасный сценарий, при котором операторы считают, что системы работают нормально, в то время как они саботируются. ФБР подтвердило, что эта деятельность привела к извлечению конфиденциальных операционных данных, что еще больше усугубляет риск.
В ответ на эту непосредственную угрозу совместное предупреждение содержит подробные шаги по смягчению последствий для операторов критической инфраструктуры. Основная рекомендация — немедленно удалить ПЛК Rockwell и другие ПЛК из прямого доступа в интернет, обеспечив их нахождение за брандмауэрами и доступ только через безопасные, сегментированные сети. Организации призывают внедрить надежный мониторинг сети на предмет необычного трафика к этим устройствам и от них, обеспечить многофакторную аутентификацию и обновить все промышленное программное обеспечение до последних версий. Это предупреждение служит критическим напоминанием о постоянной и развивающейся угрозе национальной инфраструктуре и о насущной необходимости надежной конвергенции кибербезопасности ОТ/ИТ для предотвращения потенциально катастрофических физических сбоев.
