Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Ekspozycja systemów OT i ICS do internetu pozostaje jednym z najpoważniejszych zagrożeń dla bezpieczeństwa infrastruktury krytycznej. Najnowsze ustalenia pokazują, że tysiące sterowników PLC firmy Rockwell Automation/Allen-Bradley nadal odpowiada na zapytania z sieci publicznej, co znacząco zwiększa ryzyko rozpoznania, profilowania i potencjalnej manipulacji procesami przemysłowymi przez zaawansowanych aktorów zagrożeń.
Problem nie dotyczy wyłącznie samej obecności urządzeń w internecie. Równie istotna jest możliwość zdalnego pozyskania informacji o typie urządzenia, rodzinie produktowej i wersji firmware’u, co ułatwia dobór skutecznych technik ataku oraz priorytetyzację najbardziej atrakcyjnych celów.
W skrócie
- Zidentyfikowano 5 219 hostów odpowiadających na zapytania EtherNet/IP i deklarujących się jako urządzenia Rockwell Automation/Allen-Bradley.
- Około 74,6% ekspozycji przypada na Stany Zjednoczone, czyli 3 891 systemów dostępnych z internetu.
- Znaczna część urządzeń działa w sieciach komórkowych, co sugeruje wdrożenia terenowe, takie jak stacje pomp, podstacje i rozproszone elementy automatyki.
- Atakujący mają wykorzystywać legalne oprogramowanie inżynierskie do interakcji z projektami PLC oraz wpływania na dane prezentowane w HMI i SCADA.
Kontekst / historia
7 kwietnia 2026 roku amerykańskie agencje federalne opublikowały wspólne ostrzeżenie dotyczące aktywnej eksploatacji internetowo dostępnych sterowników Rockwell Automation/Allen-Bradley przez podmioty powiązane z Iranem. Wskazano, że działania obejmowały wiele sektorów infrastruktury krytycznej, w tym administrację publiczną, gospodarkę wodno-ściekową oraz energetykę.
Obecna aktywność wpisuje się w szerszy trend operacji wymierzonych w środowiska OT. Na tle wcześniejszych kampanii, w tym działań przeciwko urządzeniom Unitronics z 2023 roku, obecny wektor ataku jest bardziej precyzyjnie ukierunkowany na ekosystem Rockwell. Charakter tych działań sugeruje, że celem nie jest wyłącznie rozpoznanie, ale również możliwość wywoływania zakłóceń operacyjnych.
Analiza techniczna
Kluczowym elementem problemu jest protokół EtherNet/IP działający na porcie 44818. Umożliwia on uzyskanie odpowiedzi identyfikacyjnych urządzenia bez uwierzytelnienia, co pozwala na precyzyjny fingerprinting zasobów przemysłowych. Napastnik może w ten sposób ustalić rodzinę produktu, model oraz wersję oprogramowania układowego i na tej podstawie dobrać odpowiednią ścieżkę działania.
W analizowanej grupie urządzeń dominowały sterowniki z rodzin MicroLogix 1400 oraz CompactLogix. Część z nich pracowała na starszych wersjach firmware’u, co zwiększa prawdopodobieństwo skutecznego wykorzystania znanych słabości lub niewłaściwych konfiguracji. W praktyce umożliwia to automatyczne skanowanie internetu, selekcję interesujących modeli PLC i budowanie list celów według ich znaczenia operacyjnego.
Dodatkowym problemem była współekspozycja innych usług sieciowych. Oprócz EtherNet/IP w wielu przypadkach widoczne były również usługi takie jak VNC, Telnet czy Modbus. Tego rodzaju konfiguracje rozszerzają powierzchnię ataku i mogą prowadzić do przejęcia dostępu do interfejsów operatorskich, ujawnienia poświadczeń przesyłanych jawnym tekstem lub interakcji z urządzeniami przemysłowymi poza głównym kanałem zarządzania PLC.
Badacze zwrócili również uwagę, że część wskaźników kompromitacji mogła odnosić się do jednego wielointerfejsowego hosta inżynierskiego wyposażonego w komplet narzędzi Rockwell, a nie do wielu niezależnych stacji operatorskich. Taki scenariusz oznacza, że pojedyncza stacja inżynierska mogła pełnić rolę centralnego punktu operacyjnego do zarządzania wieloma urządzeniami końcowymi.
Konsekwencje / ryzyko
Ryzyko ma charakter przede wszystkim operacyjny. Nieautoryzowana modyfikacja plików projektowych PLC lub manipulacja logiką sterowania może doprowadzić do zakłóceń procesów technologicznych, błędnych wskazań w systemach HMI i SCADA, a także do wymiernych strat finansowych wynikających z przestojów i konieczności przywracania środowiska do stanu bezpiecznego.
W sektorach takich jak wodociągi, energetyka czy usługi komunalne skutki mogą obejmować ograniczenie dostępności usług, błędne decyzje operatorów, a w skrajnych przypadkach również zagrożenie dla bezpieczeństwa fizycznego. Szczególnie niebezpieczne pozostają wdrożenia terenowe podłączone do internetu przez modemy komórkowe lub łącza satelitarne, ponieważ często są słabiej monitorowane i rzadziej aktualizowane.
Wysoki udział Stanów Zjednoczonych w globalnej ekspozycji pokazuje skalę problemu, ale koncentracje widoczne także w innych krajach potwierdzają, że jest to zagrożenie o zasięgu międzynarodowym. Organizacje korzystające z automatyki przemysłowej nie mogą zakładać, że problem dotyczy wyłącznie największych operatorów infrastruktury krytycznej.
Rekomendacje
Najważniejszym krokiem obronnym jest eliminacja bezpośredniej ekspozycji sterowników PLC do internetu. Jeżeli całkowite odłączenie nie jest możliwe, urządzenia powinny zostać umieszczone za zaporami, bramami pośredniczącymi i mechanizmami ścisłej kontroli komunikacji. Publiczny dostęp do portów wykorzystywanych przez EtherNet/IP, Modbus, Telnet czy narzędzia zdalnego pulpitu powinien zostać wyłączony.
Organizacje powinny przeprowadzić pełną inwentaryzację urządzeń Rockwell/Allen-Bradley, ze szczególnym uwzględnieniem systemów terenowych korzystających z transmisji komórkowej. Należy zweryfikować wersje firmware’u, wyłączyć nieużywane usługi, usunąć konfiguracje domyślne i ograniczyć zdalny dostęp wyłącznie do silnie uwierzytelnionych kanałów administracyjnych.
W przypadku stacji inżynierskich konieczne są separacja sieciowa, zasada najmniejszych uprawnień oraz monitoring behawioralny. W warstwie detekcji warto monitorować ruch na portach charakterystycznych dla OT, analizować nietypowe połączenia spoza zwykłych okien serwisowych i kontrolować zmiany w plikach projektowych. Istotne znaczenie ma także wdrożenie procedur reagowania incydentowego obejmujących zarówno IT, jak i OT.
Podsumowanie
Przypadek internetowo dostępnych sterowników Rockwell PLC pokazuje, że podstawowe błędy architektoniczne w środowiskach przemysłowych nadal tworzą dogodne warunki do działań grup APT. Sama widoczność urządzeń w internecie, połączona z możliwością ich zdalnego fingerprintingu bez uwierzytelnienia, znacząco obniża koszt rozpoznania i wyboru celów.
Dla operatorów infrastruktury krytycznej to wyraźny sygnał, że bezpieczeństwo OT wymaga pilnego ograniczenia ekspozycji, przeglądu stacji inżynierskich oraz skutecznego monitoringu komunikacji przemysłowej. W praktyce ochrona nie może kończyć się na sieci IT, lecz musi obejmować cały łańcuch sterowania procesem.
Źródła
- Censys finds 5,219 devices exposed to attacks by Iranian APTs, majority in U.S. — https://securityaffairs.com/190646/ics-scada/censys-finds-5219-devices-exposed-to-attacks-by-iranian-apts-majority-in-u-s.html
- Iranian-Affiliated APT Targeting of Rockwell/Allen-Bradley PLCs — https://censys.com/blog/iranian-affiliated-apt-targeting-rockwell-allen-bradley-plcs/
- U.S. agencies alert: Iran-linked actors target critical infrastructure PLCs — https://securityaffairs.com/190485/apt/u-s-agencies-alert-iran-linked-actors-target-critical-infrastructure-plcs.html