Prawie 4 tys. urządzeń przemysłowych w USA narażonych na irańskie cyberataki

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja
2 W skrócie
3 Kontekst / historia
4 Analiza techniczna
5 Konsekwencje / ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu / definicja

Amerykańskie agencje rządowe ostrzegły przed aktywną kampanią wymierzoną w publicznie dostępne sterowniki PLC wykorzystywane w infrastrukturze krytycznej. Szczególnie zagrożone są urządzenia Rockwell Automation i Allen-Bradley wystawione bezpośrednio do Internetu, co czyni je łatwym celem dla grup powiązanych z Iranem. Problem wpisuje się w szerszy trend ataków na środowiska OT i ICS, gdzie pojedyncza podatność konfiguracyjna może przełożyć się nie tylko na incydent informatyczny, ale również na zakłócenia procesów fizycznych.

W skrócie

Od marca 2026 roku obserwowane są działania ukierunkowane na internetowo dostępne sterowniki PLC w amerykańskich organizacjach infrastruktury krytycznej. Według dostępnych ustaleń kampania może prowadzić do zakłóceń operacyjnych oraz strat finansowych.

Globalnie zidentyfikowano ponad 5,2 tys. hostów odpowiadających jako urządzenia Rockwell/Allen-Bradley.
Około 3 891 z nich znajdowało się w Stanach Zjednoczonych.
Część systemów działa w segmentach terenowych i może być połączona przez modemy komórkowe.
Atakujący mieli pozyskiwać pliki projektowe i manipulować danymi prezentowanymi w interfejsach operatorskich.

Kontekst / historia

Ataki na środowiska OT powiązane z Iranem nie są nowym zjawiskiem. Obecna kampania stanowi kontynuację wcześniejszego wzorca działań, w którym celem są systemy sterowania przemysłowego wystawione do Internetu lub niewłaściwie segmentowane. W poprzednich incydentach przypisywanych podmiotom związanym z irańskim IRGC celem były między innymi urządzenia Unitronics używane w sektorach wodno-kanalizacyjnych oraz innych obszarach infrastruktury krytycznej.

Obecna fala ostrzeżeń pokazuje, że przeciwnik konsekwentnie wykorzystuje tę samą klasę problemów: bezpośrednią ekspozycję systemów OT, niewystarczające uwierzytelnianie oraz ograniczoną separację pomiędzy siecią przemysłową a Internetem.

Analiza techniczna

W opisywanej kampanii celem są sterowniki PLC obsługujące protokoły przemysłowe, w tym EtherNet/IP. Dla atakującego internetowo dostępny sterownik jest szczególnie wartościowy, ponieważ może ujawniać metadane urządzenia, konfigurację projektu, status komunikacji oraz informacje potrzebne do dalszej interakcji z procesem technologicznym.

Z technicznego punktu widzenia szczególnie groźne jest pozyskanie plików projektowych urządzeń oraz manipulowanie danymi wyświetlanymi w HMI i SCADA. Przejęcie project file może dostarczyć wiedzy o logice sterowania, tagach, nazwach zmiennych, konfiguracji wejść i wyjść oraz zależnościach procesowych. Z kolei zmiana danych widocznych na ekranach operatorskich może utrudniać ocenę stanu instalacji i opóźniać reakcję personelu na incydent.

Dodatkowym czynnikiem ryzyka jest sposób podłączenia części urządzeń. Znaczna liczba systemów działa w sieciach operatorów komórkowych, co może wskazywać na wykorzystanie modemów LTE lub 5G do zdalnej obsługi urządzeń terenowych. W praktyce oznacza to, że sterownik może funkcjonować poza dobrze chronioną infrastrukturą centralną, a jednocześnie pozostawać osiągalny z Internetu bez odpowiedniej filtracji ruchu, VPN czy silnego uwierzytelniania.

W środowisku OT problemem nie jest wyłącznie otwarty port. Ryzyko rośnie, gdy nakładają się na siebie wieloletnia eksploatacja bez zmian konfiguracyjnych, ograniczony monitoring ruchu przemysłowego, obecność słabych mechanizmów autoryzacji oraz trudności z szybkim wdrażaniem aktualizacji firmware’u.

Konsekwencje / ryzyko

Ryzyko dla organizacji ma charakter wielowarstwowy. Na poziomie operacyjnym skutkiem może być przerwanie procesu, błędne wskazania operatorskie, wymuszone zatrzymanie linii lub pogorszenie jakości procesu technologicznego. Na poziomie biznesowym oznacza to przestoje, koszty przywrócenia działania, utratę przychodów i konsekwencje kontraktowe. W sektorach infrastruktury krytycznej dochodzi do tego zagrożenie dla ciągłości usług publicznych.

Istotny jest również aspekt przygotowawczy ataku. Kradzież konfiguracji i plików projektowych pozwala przeciwnikowi lepiej zaplanować kolejne etapy operacji, w tym sabotaż, manipulację logiką sterowania lub działania ukierunkowane na konkretne obiekty. Nawet jeśli pierwszy etap nie doprowadzi do awarii, zdobyta wiedza zwiększa prawdopodobieństwo skuteczniejszego ataku w przyszłości.

Zagrożenie nie dotyczy wyłącznie dużych operatorów infrastruktury krytycznej. W praktyce narażone są również mniejsze zakłady przemysłowe, integratorzy OT, obiekty terenowe oraz organizacje korzystające ze zdalnego dostępu do utrzymania ruchu. To właśnie takie środowiska często dysponują najmniej dojrzałymi mechanizmami wykrywania incydentów.

Rekomendacje

Podstawowym krokiem powinno być natychmiastowe zidentyfikowanie wszystkich sterowników PLC i komponentów OT dostępnych z Internetu. Urządzenia, które nie muszą być publicznie osiągalne, należy odłączyć od sieci publicznej. Jeśli zdalny dostęp jest konieczny, powinien być realizowany wyłącznie przez kontrolowane bramy, zapory sieciowe, VPN oraz właściwą segmentację.

Przeprowadzić pełną inwentaryzację internetowo dostępnych zasobów OT.
Wdrożyć wieloskładnikowe uwierzytelnianie dla dostępu administracyjnego i zdalnego.
Wyłączyć nieużywane usługi, interfejsy i domyślne konta techniczne.
Monitorować logi i ruch sieciowy pod kątem anomalii w protokołach przemysłowych.
Zweryfikować wersje firmware’u, kopie konfiguracji i procedury odtworzeniowe.
Regularnie testować scenariusze przywracania sterowników oraz HMI/SCADA po incydencie.

Z perspektywy strategicznej organizacje powinny rozwijać model zero trust dla zdalnego dostępu do OT, klasyfikować krytyczność urządzeń oraz integrować telemetrię przemysłową z procesami SOC. W środowiskach infrastruktury krytycznej kluczowa pozostaje ścisła współpraca zespołów IT, OT, utrzymania ruchu i bezpieczeństwa.

Podsumowanie

Obecna kampania pokazuje, że publicznie dostępne sterowniki PLC pozostają jednym z najgroźniejszych punktów styku między cyberprzestrzenią a procesami przemysłowymi. Skala ekspozycji w USA, obejmująca blisko 4 tys. urządzeń, potwierdza systemowy charakter problemu. Działania przypisywane podmiotom powiązanym z Iranem pokazują również, że przeciwnicy coraz skuteczniej łączą rekonesans, pozyskiwanie konfiguracji i manipulację interfejsami operatorskimi. Dla obrońców oznacza to konieczność priorytetowego zabezpieczenia wszystkich publicznie dostępnych systemów OT.

Źródła

BleepingComputer – Nearly 4,000 US industrial devices exposed to Iranian cyberattacks — https://www.bleepingcomputer.com/news/security/nearly-4-000-us-industrial-devices-exposed-to-iranian-cyberattacks/
BleepingComputer – US warns of Iranian hackers targeting critical infrastructure — https://www.bleepingcomputer.com/news/security/us-warns-of-iranian-hackers-targeting-critical-infrastructure/
Censys – Iranian-Affiliated APT Targeting of Rockwell/Allen-Bradley PLCs — https://censys.com/blog/iranian-affiliated-apt-targeting-rockwell-allen-bradley-plcs/
IC3/FBI – Iranian-affiliated APT actors targeting internet-exposed PLCs — https://www.ic3.gov/CSA/2026/260407
CISA – CyberAv3ngers targets Unitronics PLCs — https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-335a