По мере обострения войны между США и Израилем растет и количество кибератак на американские промышленные объекты.
Хакеры, работающие в интересах иранского правительства, нарушают работу нескольких объектов критической инфраструктуры США, что может быть ответом на продолжающуюся войну страны с США. Об этом предупреждают полдюжины государственных агентств.
В рекомендации, опубликованном во вторник, ФБР, Агентство по кибербезопасности и инфраструктуре, Агентство национальной безопасности, Агентство по охране окружающей среды, Министерство энергетики и Киберкомандование США срочно предупредили, что группа APT (advanced persistent threat) нацелена на программируемые логические контроллеры (PLC). Эти устройства размером с тостер устанавливаются на заводах, на очистных сооружениях, нефтеперерабатывающих заводах и других промышленных объектах, часто в удаленных местах. Они обеспечивают интерфейс между компьютерами автоматизации и физическим оборудованием.
Нарушение операционной деятельности и финансовые потери
«С марта 2026 года агентства-авторы выявили через взаимодействие с пострадавшими организациями иранскую группировку APT, которая нарушила функциональность программируемых логических контроллеров», говорится в рекомендации. «Эти контроллеры были развернуты в нескольких секторах критической инфраструктуры США (включая государственные услуги и объекты, системы очистки сточных вод и энергетический сектор) в различных процессах промышленной автоматизации. Некоторые жертвы столкнулись с нарушением операционной деятельности и финансовыми потерями».
Среди скомпрометированных или целевых контроллеров — устройства производства Rockwell Automation/Allen-Bradley. Компания по информационной безопасности Censys сообщила в среду, что сканирование интернета выявило 5219 таких открытых для интернета устройств. Полных 75 процентов из них расположены в США и, вероятно, в отдаленных местах, где находится оборудование. Инфраструктура, используемая для нацеливания на устройства, это «одна многоквартирная рабочая станция инженера Windows, работающая с набором инструментов Rockwell».
«Текущая кампания включает прямой доступ к подключенным к интернету программируемым логическим контроллерам с использованием законного программного обеспечения производителя (Rockwell Studio 5000 Logix Designer), позволяя злоумышленникам взаимодействовать с файлами проекта и манипулировать данными дисплея HMI/SCADA без использования эксплойтов нулевого дня», сказала компания. «Подтвержденные целевые семейства устройств включают CompactLogix и Micro850».
Рабочая станция подключается к программируемым логическим контроллерам через протокол удаленного рабочего стола (RDP) на нестандартном порту TCP 43589. Она использует самоподписанный сертификат с общим именем DESKTOP-BOE5MUC. Хосты также открывают полный стек протоколов Windows (DCERPC/135, MSMQ, NetBIOS).
Рекомендация вторника указала, что другие протоколы операционных технологий, такие как Modbus S7/10, также зондируются, что указывает на то, что программируемые логические контроллеры других производителей также являются мишенями.
Хакеры, работающие в интересах Исламских революционных гвардий Ирана, ранее нападали на американские промышленные объекты. В 2023 году группа, известная как «CyberAg3ngers», нарушила работу американских программируемых логических контроллеров и интерфейсов человека-машины. По меньшей мере 75 устройств в нескольких секторах критической инфраструктуры были скомпрометированы.
В середине марта, всего через день после того как США и Израиль нанесли авиаудары по Ирану, многонациональный производитель медицинских устройств Stryker подтвердил кибератаку, которая вывела из строя большую часть его инфраструктуры на несколько дней. Исследователи далее подтвердили, что за атакой стояла про-иранская группировка хакеров Handala, как группировка заявила в социальных сетях. Handala также была ответственна за взлом личного почтового ящика директора ФБР Каша Пателя в прошлом месяце. В электронном письме компания по информационной безопасности Flashpoint сообщила, что про-иранские прокси-группы также успешно проводят DDoS-атаки против «крупных платформ, таких как Netflix и Pinterest, а также государственных портала Австралии».
Рекомендации вторника и среды предоставляют IP-адреса и другие идентификаторы инфраструктуры злоумышленников. Они также предоставляют рекомендации по защите программируемых логических контроллеров. По мере продолжения войны с Ираном такие кибератаки, вероятно, будут усиливаться.