Іранські хакери навчилися віддалено виводити з ладу заводи та електростанції
Іранські хакерські угруповання, пов’язані з державою, останніми місяцями зосередилися на цілком конкретній цілі в межах американської критичної інфраструктури: на контролерах Rockwell Automation та Allen-Bradley, яких, як і раніше, тисячами висить в інтернеті. Проблема тут не тільки в самому інтересі нападників. Нові дані показують, що значна частина таких промислових пристроїв знаходиться саме в США, причому нерідко йдеться про системи, підключені через стільникові модеми і працюють безпосередньо на об’єктах.
Про нову хвилю атак попередили відразу кілька федеральних відомств США. За їхніми даними, з березня 2026 року іранські групи, яких американська сторона відносить до державних, почали цілеспрямовано атакувати PLC-пристрої Rockwell Automation і Allen-Bradley в мережах американських організацій. Наслідки вже вийшли за межі розвідки: влада говорить про операційні збої та фінансові збитки.
Слідство також встановило, що зловмисники не обмежувалися простою перевіркою доступу. У ході кампанії вони витягували файл проекту контролера, де зберігається логіка роботи системи, а потім втручалися в дані, які відображаються на екранах HMI та SCADA. Для промислового середовища це вже не просто неприємний інцидент, а пряме втручання в те, як оператор бачить і розуміє стан процесу. Якщо відображення спотворене, персонал буде приймати рішення на основі помилкових даних. А далі вже спрацює ефект карткового будинку.
Наступного дня після оприлюднення американського попередження свою оцінку опублікувала компанія Censys. Вона нарахувала 5219 доступних хостів по всьому світу, які відповідають через EtherNet/IP і самі ідентифікують себе як пристрої Rockwell Automation або Allen-Bradley. Картина виявилася вкрай нерівномірною: 74,6 % усієї світової експозиції припадає на США. В абсолютних цифрах це 3891 хост.
Окремо дослідники звернули увагу на ще одну деталь. Непропорційно велика частина американських пристроїв виявилася в автономних системах мобільних операторів. Такий профіль зазвичай вказує на польові установки, які підключені через стільникові модеми, а не заховані всередині ізольованих промислових мереж. Для зловмисників це особливо зручно: не потрібно пробиватися глибоко всередину корпоративної інфраструктури, якщо частина промислового обладнання вже виставлена назовні.
На практиці йдеться про програмовані логічні контролери, які керують фізичними процесами. Такі пристрої встановлені на виробництві, у комунальній сфері, на об’єктах енергетики та в інших сегментах критичної інфраструктури. Тому будь-який несанкціонований доступ до них небезпечний не лише витоком даних.
Американські відомства пов’язують нинішню ескалацію з загостренням ситуації навколо Ірану, США та Ізраїлю. У попередженні прямо йдеться про те, що активність іранських APT-груп проти американських організацій останнім часом посилилася, і, судячи з усього, кібератаки відбуваються як частина ширшого політичного та військового конфлікту.
Источник: noworries.news