Активность киберпреступников, связанных с Ираном, перешла на новый уровень, создав прямую угрозу физическим процессам в ключевых отраслях экономики США. Совместное обращение ФБР, Агентства по кибербезопасности и инфраструктурной безопасности США (CISA), Агентства национальной безопасности (NSA) и других ведомств предупреждает о целенаправленных атаках на программируемые логические контроллеры, которые привели к операционным сбоям и финансовым потерям. Инцидент демонстрирует растущую тенденцию, когда геополитическая напряжённость напрямую трансформируется в кибератаки на объекты промышленности и жизнеобеспечения.
Описание
Целями злоумышленников стали программируемые логические контроллеры Rockwell Automation/Allen-Bradley, широко используемые в системах автоматизации. Эти устройства, будучи неправильно сконфигурированными и напрямую доступными из интернета, стали лёгкой добычей для хакеров. Эксперты относят атакующих к группе повышенной опасности, так называемой APT, связанной с Киберэлектронным командованием Корпуса стражей исламской революции Ирана (IRGC CEC). Ранее эта же группа, известная как CyberAv3ngers, проводила аналогичные кампании против систем водоснабжения.
По данным американских спецслужб, активность была зафиксирована как минимум с марта 2026 года и затронула несколько секторов критической инфраструктуры: государственные услуги и объекты, системы водоснабжения и водоотведения, а также энергетику. Атака носила комплексный характер. Злоумышленники использовали арендованную инфраструктуру за рубежом и стандартное программное обеспечение для программирования ПЛК, такое как Studio 5000 Logix Designer, для установления соединения с уязвимыми контроллерами. После получения доступа они манипулировали проектными файлами устройств, изменяли данные, отображаемые на человеко-машинных интерфейсах (HMI) и системах диспетчерского управления и сбора данных (SCADA). В ряде случаев это привело к нарушению технологических процессов и прямым финансовым убыткам.
Технический анализ показывает, что атакующие фокусировались на стандартных портах, используемых промышленным оборудованием, таких как 44818, 2222, 102 и 502. Это указывает на потенциальную возможность атак и на устройства других производителей, например, Siemens. Кроме того, для закрепления в системе и удалённого доступа злоумышленники использовали Dropbear SSH, разворачивая это ПО на скомпрометированных конечных точках. Федеральное бюро расследований в своём отчёте подчёркивает, что подобные действия напрямую нацелены на причинение разрушительного эффекта, что является эскалацией в рамках текущего геополитического противостояния.
Рекомендации регуляторов для организаций носят срочный характер и направлены на ликвидацию базовых ошибок безопасности. Главный призыв - немедленно отключить промышленные контроллеры от публичного интернета. Доступ должен осуществляться только через защищённые шлюзы, прокси-серверы или виртуальные частные сети (VPN) с обязательным использованием многофакторной аутентификации. Для устройств Rockwell Automation также рекомендуется перевести физический переключатель режимов в положение "run" для блокировки удалённого изменения логики. Важным шагом является анализ журналов событий на предмет подозрительного трафика с указанных в рекомендациях IP-адресов, а также создание и безопасное хранение резервных копий конфигураций ПЛК.
Последствия таких атак выходят за рамки простого нарушения конфиденциальности данных. Манипуляция с системами управления технологическими процессами может привести к физическому повреждению оборудования, остановке производства, перебоям в снабжении населения водой или электроэнергией. Этот инцидент служит суровым напоминанием о том, что конвергенция информационных и операционных технологий (ИТ/ОТ) создаёт новые векторы для атак, где цифровая уязвимость напрямую трансформируется в физическую угрозу. Уязвимость, ставшая причиной этого инцидента, в первую очередь связана не с ошибкой в коде, а с фундаментальными недостатками архитектуры и политик безопасности, когда критическое оборудование оказывается беззащитным перед лицом интернета.
В долгосрочной перспективе регуляторы возлагают часть ответственности на производителей оборудования, призывая их следовать принципам "безопасности по умолчанию". Это означает, что базовые функции защиты, такие как отключение интерфейсов администратора от сети и поддержка многофакторной аутентификации, не должны быть опцией за дополнительную плату, а обязаны быть встроены в продукт изначально. Текущая ситуация требует скоординированных действий как со стороны владельцев критической инфраструктуры, которые должны срочно пересмотреть свою сетевую периметрию, так и со стороны вендоров, которым необходимо повышать устойчивость своих устройств к компрометации в сложной геополитической обстановке.
Индикаторы компрометации
IPv4
- 135.136.1.133
- 185.82.73.162
- 185.82.73.164
- 185.82.73.165
- 185.82.73.167
- 185.82.73.168
- 185.82.73.170
- 185.82.73.171
