Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Ataki na systemy OT i ICS należą do najpoważniejszych zagrożeń dla infrastruktury krytycznej, ponieważ ich skutki wykraczają poza klasyczne naruszenie bezpieczeństwa IT. W przeciwieństwie do incydentów obejmujących wyłącznie dane lub systemy biurowe, kompromitacja sterowników PLC, interfejsów HMI czy platform SCADA może bezpośrednio wpłynąć na przebieg procesów przemysłowych, ciągłość działania usług publicznych oraz bezpieczeństwo operacyjne.
Najnowsze ostrzeżenie amerykańskich agencji federalnych wskazuje, że podmioty powiązane z Iranem prowadzą aktywną kampanię wymierzoną w dostępne z internetu urządzenia OT. Celem są przede wszystkim sterowniki PLC, a skutkiem ataków są realne zakłócenia operacyjne odnotowane w wielu sektorach infrastruktury krytycznej w Stanach Zjednoczonych.
W skrócie
Wspólne ostrzeżenie opublikowane 7 kwietnia 2026 r. opisuje działania irańsko powiązanych grup APT, które koncentrują się na publicznie dostępnych sterownikach przemysłowych. W centrum zainteresowania znalazły się urządzenia Rockwell Automation i Allen-Bradley, choć analiza ruchu sieciowego sugeruje, że zagrożenie może obejmować także rozwiązania innych producentów.
Atakujący uzyskiwali dostęp do sterowników, ingerowali w pliki projektowe oraz manipulowali danymi widocznymi na ekranach HMI i w systemach SCADA. W części przypadków przełożyło się to na zakłócenia pracy, przestoje i wymierne straty finansowe. Wśród zaatakowanych organizacji znalazły się podmioty z sektorów usług publicznych i samorządowych, wodno-kanalizacyjnego oraz energetycznego.
Kontekst / historia
Obecna kampania wpisuje się w szerszy i dobrze udokumentowany wzorzec aktywności irańskich aktorów wymierzonej w środowiska przemysłowe. Agencje federalne wskazują podobieństwa do wcześniejszych operacji przypisywanych grupie CyberAv3ngers, łączonej z irańskim Korpusem Strażników Rewolucji Islamskiej. Już w listopadzie 2023 r. pojawiały się ostrzeżenia dotyczące ataków na sterowniki PLC i panele HMI wykorzystywane w infrastrukturze krytycznej, zwłaszcza w sektorze wodociągów i oczyszczania ścieków.
Według najnowszych ustaleń bieżąca fala działań trwa co najmniej od marca 2026 r. i objęła wiele organizacji na terenie USA. To ważny sygnał dla operatorów infrastruktury, ponieważ wskazuje na przejście od klasycznych działań rozpoznawczych lub szpiegowskich do operacji nastawionych na efekt zakłócający. Nawet ograniczona manipulacja logiką sterowania albo warstwą wizualizacji może prowadzić do błędnych decyzji operatorów i destabilizacji procesu technologicznego.
Analiza techniczna
Z technicznego punktu widzenia kampania koncentruje się na urządzeniach PLC wystawionych bezpośrednio do internetu. Atakujący wykorzystywali zagraniczne adresy IP oraz infrastrukturę hostingową stron trzecich do nawiązywania połączeń z publicznie dostępnymi sterownikami. W przypadku urządzeń Rockwell Automation i Allen-Bradley wskazano użycie oprogramowania inżynierskiego, takiego jak Studio 5000 Logix Designer, do zestawiania zaakceptowanych połączeń z PLC.
Wśród zidentyfikowanych celów znalazły się między innymi urządzenia z rodzin CompactLogix i Micro850. Mechanizm działania obejmował złośliwą interakcję z plikami projektowymi sterownika oraz manipulację danymi prezentowanymi operatorom na HMI i w systemach SCADA. Oznacza to, że przeciwnik nie ograniczał się do prostego skanowania sieci czy prób logowania, ale ingerował w elementy bezpośrednio związane z logiką procesu i kontrolą operacyjną.
Agencje zwróciły uwagę również na ruch przychodzący kierowany na porty 44818, 2222, 102, 22 oraz 502. Taki zestaw jest istotny, ponieważ obejmuje zarówno porty kojarzone z platformami Rockwell, jak i protokoły używane przez innych dostawców OT, w tym rozwiązania Siemens S7. W praktyce może to oznaczać, że kampania ma szerszy zakres i nie jest ograniczona do jednej linii produktowej.
Dodatkowo na zaatakowanych endpointach odnotowano użycie narzędzia Dropbear SSH, co może wskazywać na próbę utrzymania trwałego zdalnego dostępu. Dla zespołów obronnych to istotny sygnał, ponieważ sugeruje możliwość przejścia od jednorazowej ingerencji do dłuższej obecności w środowisku, obejmującej rekonesans, zmianę konfiguracji lub przygotowanie kolejnych etapów operacji.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem tej kampanii jest bezpośrednie przełożenie incydentu cybernetycznego na warstwę fizyczną i operacyjną. Manipulacja danymi w HMI i SCADA może zafałszować obraz procesu technologicznego, utrudniając operatorom prawidłową ocenę sytuacji. Z kolei ingerencja w pliki projektowe PLC może prowadzić do błędnego działania automatyki, zakłócenia parametrów pracy, przestojów oraz problemów z jakością procesu.
Ryzyko jest szczególnie wysokie w organizacjach, które nadal utrzymują urządzenia OT bezpośrednio dostępne z internetu, nie stosują segmentacji sieci, nie wymuszają silnego uwierzytelniania i nie monitorują ruchu przemysłowego na poziomie protokołów. Dotyczy to zwłaszcza sektorów wodno-kanalizacyjnego, energetycznego i samorządowego, gdzie nawet krótkotrwałe zakłócenie może wywołać znaczną presję społeczną i operacyjną.
Nie można też pomijać ryzyka wtórnego. Jeżeli atakujący utrzymają trwały dostęp do środowiska, incydent może przekształcić się w długotrwałą kampanię obejmującą sabotaż punktowy, zmianę ustawień urządzeń, przygotowanie kolejnych działań lub ukrytą obecność w infrastrukturze przez dłuższy czas. W środowiskach OT usuwanie skutków kompromitacji bywa trudniejsze niż w klasycznym IT, ponieważ systemy przemysłowe często działają latami bez głębszej modernizacji, a okna serwisowe są ograniczone.
Rekomendacje
Priorytetem powinno być natychmiastowe usunięcie sterowników PLC i innych urządzeń OT z bezpośredniej ekspozycji do internetu. Zdalny dostęp należy realizować wyłącznie przez kontrolowane mechanizmy, takie jak segmentacja sieci, zapory, dedykowane bramy oraz VPN z silnym uwierzytelnianiem. Organizacje powinny również przeprowadzić pełną inwentaryzację publicznie dostępnych zasobów OT i zweryfikować, czy nie są osiągalne z sieci globalnej.
Zespoły bezpieczeństwa powinny przeanalizować logi pod kątem nietypowego ruchu na portach 44818, 2222, 102, 22 i 502, szczególnie jeśli połączenia pochodzą z zagranicznych adresów IP albo z infrastruktury hostingowej, która nie jest standardowo wykorzystywana przez integratorów lub dostawców serwisu. Warto skorelować dane z zapór, systemów VPN, serwerów inżynierskich, stacji operatorskich i punktów zdalnego dostępu.
W środowiskach opartych na rozwiązaniach Rockwell zalecane jest włączenie dostępnych funkcji bezpieczeństwa kontrolerów i stosowanie aktualnych zaleceń producenta. W części przypadków wskazuje się również na zasadność ustawienia fizycznego przełącznika trybu pracy sterownika w pozycji run, co może ograniczyć możliwość nieautoryzowanej modyfikacji logiki sterowania. Każda taka decyzja powinna jednak uwzględniać specyfikę procesu technologicznego i wymagania operacyjne.
- wydzielenie stref OT i ograniczenie połączeń z IT do niezbędnego minimum,
- monitorowanie integralności plików projektowych oraz konfiguracji PLC,
- kontrola użycia narzędzi inżynierskich w sieci,
- wdrożenie list dozwolonych połączeń dla zdalnego serwisu,
- przetestowanie planów reagowania na incydenty obejmujących scenariusze zakłócenia procesu przemysłowego,
- ścisła współpraca z producentami urządzeń, integratorami i odpowiednimi zespołami reagowania.
Podsumowanie
Kampania opisana przez amerykańskie agencje pokazuje, że infrastruktura krytyczna nadal pozostaje celem ataków wymierzonych bezpośrednio w warstwę sterowania przemysłowego. Kluczowym wektorem pozostaje ekspozycja urządzeń OT do internetu, a skutkiem kompromitacji mogą być rzeczywiste zakłócenia operacyjne, straty finansowe i wzrost ryzyka dla bezpieczeństwa procesów.
Dla operatorów infrastruktury krytycznej jest to kolejny wyraźny sygnał, że bezpieczeństwo OT nie może być traktowane jako dodatek do cyberbezpieczeństwa IT. Najważniejsze działania obronne obejmują eliminację publicznej dostępności PLC, segmentację środowiska, monitorowanie portów i protokołów przemysłowych oraz bieżącą walidację integralności projektów i konfiguracji sterowników.
Źródła
- https://www.securityweek.com/iran-linked-hackers-disrupt-us-critical-infrastructure-via-plc-attacks/
- https://www.ic3.gov/CSA/2026/260407.pdf
- https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1771.html
- https://www.cisa.gov/topics/cyber-threats-and-advisories/advanced-persistent-threats/iran
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-335a