Συναγερμός για την Ασφάλεια: Οι Απευθυνόμενοι κίνδυνοι για τους Ρυθμιστές PLC της Rockwell Automation
Στις 7 Απριλίου 2026, το FBI, η CISA, η NSA, η EPA, η DOE και η Διοίκηση Κυβερνοχώρου των ΗΠΑ δημοσιοποίησαν μια σοβαρή προειδοποίηση σχετικά με την ενεργή απειλή που προέρχεται από κυκλώματα συνδεδεμένα με το Ιράν. Αυτή η απειλή εστιάζει στους προγραμματιζόμενους ελεγκτές λογικής Rockwell Automation/Allen-Bradley (PLC) που είναι εκτεθειμένοι στο διαδίκτυο.
Οι PLC αυτοί είναι κρίσιμες βιομηχανικές συσκευές που χρησιμοποιούνται σε σημαντικές υποδομές, όπως οι σταθμοί επεξεργασίας νερού, εγκαταστάσεις ενέργειας και δημοσίου τομέα. Η συμβουλευτική με ένδειξη AA26-097A υπογραμμίζει τον συνεχιζόμενο κίνδυνο για τα επιχειρησιακά τεχνολογικά περιβάλλοντα (OT) τόσο στις Ηνωμένες Πολιτείες όσο και διεθνώς.
Ποιοι είναι οι Υποκινητές πίσω από την Απειλή;
Η απειλή σχετίζεται με την Ηλεκτρονική Διοίκηση Κυβερνοφυλάκων του Σώματος των Φρουρών της Ισλαμικής Επανάστασης (IRGC-CEC). Έχουν εντοπιστεί πολλές ομάδες με ψευδώνυμα όπως οι CyberAv3ngers, Shahid Kaveh Group, Storm-0784, Bauxite και UNC5691. Από τον Νοέμβριο του 2023, αυτή η ομάδα είχε παραβιάσει τουλάχιστον 75 Unitronics PLC σε εγκαταστάσεις ύδρευσης και αποχέτευσης των ΗΠΑ, όπως επιβεβαίωσαν οι συμβουλές της CISA (AA23-335A).
Η Κλιμάκωση της Καμπάνιας
Η καμπάνια αυτή, που είναι ενεργή τουλάχιστον από τον Μάρτιο του 2026, στοχεύει τώρα στις συσκευές Rockwell. Οι ερευνητές του Censys εντόπισαν 5.219 εκτεθειμένους οικοδεσπότες παγκοσμίως που ανήκουν στις οικογένειες Rockwell Automation/Allen-Bradley και ανταποκρίνονται στο EtherNet/IP (EIP) στη θύρα 44818. Αυτή η έκθεση εξασφαλίζει ότι οι Ηνωμένες Πολιτείες αντιπροσωπεύουν το 74,6% αυτής της εκτεθειμένης υποδομής.
Ανασκόπηση της Παγκόσμιας Έκθεσης
Οι εκθέσεις αναδεικνύουν επίσης ανησυχητικά στοιχεία άλλων χωρών με σημαντική έκθεση, όπως:
- Ισπανία: 110 οικοδεσπότες
- Ταϊβάν: 78 οικοδεσπότες
- Ιταλία: 73 οικοδεσπότες
Εικόνα 1: Παγκόσμια κατανομή κεντρικών υπολογιστών Rockwell/Allen-Bradley PLC που εκτίθενται στο Διαδίκτυο.
Κίνδυνοι από Χρησιμοποίηση Νομιματικού Λογισμικού
Μία από τις κυριότερες ανησυχίες είναι ότι οι παράγοντες της απειλής δεν χρησιμοποιούν exploit zero-day. Αντί αυτού, αξιοποιούν το νόμιμο λογισμικό της Rockwell, όπως το Studio 5000 Logix Designer, για να αποκτήσουν άμεση πρόσβαση σε PLC που είναι προσβάσιμα μέσω του διαδικτύου. Αυτό τους επιτρέπει να διαβάζουν και να τροποποιούν αρχεία έργων, καθώς και να χειρίζονται τις οθόνες HMI/SCADA.
Επιβεβαίωση Συσκευών και Πρωτοκόλλων
Οι επιβεβαιωμένες οικογένειες στοχευμένων συσκευών περιλαμβάνουν τα CompactLogix και Micro850. Σημαντικά πρωτόκολλα όπως το Modbus (θύρα 502) και το S7 (θύρα 102) είναι επί του παρόντος στο επίκεντρο, υποδηλώνοντας ότι η ομάδα πιθανώς θα εμπλουτίσει τη στόχευσή της και σε άλλες πλατφόρμες.
Σχεδόν το 49,1% των εκτεθειμένων συσκευών βρίσκονται πίσω από κυψελωτά μόντεμ, κυρίως από την Verizon Business και την AT&T Mobility. Ειδικότερα, πολλές από αυτές τις εγκαταστάσεις είναι συνδεδεμένες μέσω κυψελωτών μόντεμ σε αντλιοστάσια και ηλεκτρικά υποσταθμίδια.
Διεύρυνση της Επιφάνειας Επίθεσης
Η έκθεση των 5.219 οικοδεσποτών αποκάλυψε και άλλες υπηρεσίες που επηρεάζουν την επιφάνεια επίθεσης. Ορισμένα παραδείγματα περιλαμβάνουν:
- VNC: 771 περιπτώσεις που παρέχουν απομακρυσμένη πρόσβαση.
- Telnet: 280 κεντρικοί υπολογιστές.
- Modbus: 292 κεντρικοί υπολογιστές.
Στρατηγικές Προστασίας
Οι οργανισμοί που χρησιμοποιούν PLC Rockwell/Allen-Bradley είναι επιτακτική ανάγκη να αποσυνδέσουν αυτές τις συσκευές από την άμεση έκθεση στο διαδίκτυο. Συστήνεται:
- Απενεργοποίηση του VNC, Telnet και FTP σε κεντρικούς υπολογιστές που φιλοξενούν PLC.
- Εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων.
- Εξέταση της κίνησης στις θύρες TCP 44818, 2222, 102, 502 και 22.
Η ασφάλεια του κυβερνοχώρου είναι καθοριστικής σημασίας για την προστασία κρίσιμων υποδομών και απαιτεί τη συνεχή παρακολούθηση και αξιολόγηση πιθανών κινδύνων.
