Tag: APT

Wprowadzenie do problemu / definicja

Systemy ICS i SCADA odpowiadają za sterowanie procesami przemysłowymi w energetyce, transporcie, produkcji, wodociągach oraz innych sektorach infrastruktury krytycznej. Ich bezpośrednia ekspozycja do internetu stanowi poważne zagrożenie, szczególnie wtedy, gdy komunikacja opiera się na starszych protokołach przemysłowych, takich jak Modbus TCP, projektowanych z myślą o sieciach odizolowanych, a nie o środowisku publicznym.

W praktyce oznacza to, że urządzenia sterujące mogą ujawniać dane procesowe, informacje identyfikacyjne oraz parametry operacyjne osobom nieuprawnionym. W części przypadków możliwa jest nie tylko obserwacja, ale także ingerencja w rejestry i ustawienia urządzeń.

W skrócie

Najnowsze analizy pokazują, że w internecie nadal widoczne są rzeczywiste urządzenia ICS odpowiadające na zapytania przez port 502, standardowo wykorzystywany przez Modbus TCP. Po odfiltrowaniu pułapek, środowisk testowych i wyników o niskiej wiarygodności badacze wskazali 179 prawdopodobnie autentycznych urządzeń przemysłowych.

Najwięcej z nich znajdowało się w Stanach Zjednoczonych, a kolejne w Szwecji i Turcji. Część systemów była powiązana z wrażliwymi środowiskami, w tym z infrastrukturą kolejową oraz energetyczną, co dodatkowo podnosi poziom ryzyka operacyjnego i bezpieczeństwa.

Kontekst / historia

Zagrożenia dla środowisk OT nie są nowym zjawiskiem. Wcześniejsze incydenty, takie jak Stuxnet, Industroyer, Triton, Havex czy BlackEnergy, pokazały, że systemy przemysłowe mogą być celem działań sabotażowych, szpiegowskich i destrukcyjnych. Wraz z rozwojem zdalnego dostępu oraz integracji IT i OT rośnie powierzchnia ataku, a historyczne założenie o izolacji przestaje mieć zastosowanie.

Nowoczesne przedsiębiorstwa przemysłowe coraz częściej łączą warstwę produkcyjną z systemami monitoringu, usługami serwisowymi i rozwiązaniami chmurowymi. Taka konwergencja zwiększa efektywność operacyjną, ale jednocześnie może prowadzić do powstania luki strukturalnej, jeśli bezpieczeństwo nie nadąża za zmianami architektury.

Analiza techniczna

Sednem problemu jest charakterystyka protokołów takich jak Modbus, które nie oferują natywnego uwierzytelniania ani szyfrowania. Jeżeli urządzenie nasłuchuje publicznie na porcie 502, napastnik może wysyłać poprawne zapytania odczytu lub zapisu rejestrów bez konieczności przełamywania typowych zabezpieczeń aplikacyjnych.

W praktyce umożliwia to pozyskanie danych o wartościach napięcia, temperatury, ciśnienia, stanach wejść i wyjść, licznikach energii czy wskaźnikach jakości zasilania. Szczególnie groźne jest również ujawnianie metadanych, takich jak wersja firmware’u, identyfikator produktu czy nazwa producenta, ponieważ znacząco ułatwia to rekonesans i dobór technik ataku.

• dopasowanie publicznie dostępnych map rejestrów,
• odszukanie dokumentacji technicznej i instrukcji serwisowych,
• ustalenie prawdopodobnej funkcji urządzenia w procesie przemysłowym,
• weryfikację znanych podatności konkretnej platformy,
• przygotowanie scenariusza manipulacji parametrami procesu.

Nawet jeśli urządzenie nie ujawnia pełnej identyfikacji, analiza zmian wartości rejestrów w czasie może pomóc w określeniu jego roli. To pozwala rozróżnić na przykład licznik energii od sterownika procesu lub modułu wejść/wyjść i lepiej dopasować dalsze działania ofensywne.

Konsekwencje / ryzyko

Bezpośrednio wystawione urządzenia ICS generują kilka warstw ryzyka jednocześnie. Pierwsza dotyczy rozpoznania środowiska, czyli możliwości zbudowania szczegółowego obrazu infrastruktury OT organizacji. Druga wiąże się z zakłóceniem pracy, gdy odczyt lub zapis rejestrów wpływa na decyzje systemów nadrzędnych albo operatorów.

Najpoważniejsza warstwa dotyczy bezpieczeństwa fizycznego i ciągłości działania. W środowisku przemysłowym incydent cybernetyczny może prowadzić do awarii procesu, przestoju linii produkcyjnej, zaburzeń w dystrybucji energii, a w skrajnych przypadkach do zagrożenia dla ludzi, środowiska i usług krytycznych.

Dodatkowym problemem pozostaje długi cykl życia urządzeń OT. Aktualizacje są wdrażane wolniej niż w klasycznym IT, często ze względu na certyfikacje, zależności od integratorów i ryzyko zatrzymania produkcji. To sprawia, że znane słabości mogą pozostawać aktywne przez długi czas, a internetowa widoczność takiego urządzenia staje się dla przeciwnika atrakcyjnym punktem wejścia.

Rekomendacje

Podstawowym zaleceniem jest całkowite wyeliminowanie bezpośredniej ekspozycji urządzeń ICS do internetu. Jeżeli zdalny dostęp jest konieczny, powinien być realizowany wyłącznie przez ściśle kontrolowane mechanizmy pośrednie, takie jak VPN z silnym uwierzytelnianiem wieloskładnikowym, segmentowane strefy dostępu i bramy administracyjne z pełnym rejestrowaniem sesji.

• przeprowadzić pełną inwentaryzację zasobów OT i zweryfikować ekspozycję publiczną,
• zablokować ruch do portów przemysłowych na granicy sieci,
• wdrożyć segmentację między IT i OT oraz mikrosegmentację wewnątrz OT,
• usunąć domyślne konta i hasła oraz stosować silne uwierzytelnianie tam, gdzie to możliwe,
• ograniczyć ujawnianie informacji o urządzeniach w odpowiedziach usług i interfejsach zarządzających,
• monitorować ruch Modbus, DNP3 i BACnet pod kątem nietypowych poleceń,
• aktualizować firmware i komponenty komunikacyjne zgodnie z planem zarządzania podatnościami,
• testować procedury reagowania na incydenty wspólnie dla zespołów IT, OT i utrzymania ruchu,
• utrzymywać kopie zapasowe konfiguracji sterowników, HMI i serwerów inżynierskich,
• regularnie wykonywać zewnętrzne skany ekspozycji oraz walidację konfiguracji sieciowej.

W środowiskach krytycznych warto przyjąć zasadę, że protokoły przemysłowe nie powinny być routowane przez publiczny internet w swojej natywnej postaci. Jeżeli organizacja potrzebuje zdalnej telemetrii lub serwisu, powinna stosować rozwiązania pośredniczące i architekturę obrony warstwowej.

Podsumowanie

Internetowa ekspozycja urządzeń ICS pozostaje jednym z najbardziej podstawowych, a zarazem najgroźniejszych błędów bezpieczeństwa w środowiskach OT. Problem wynika nie tylko z samej obecności urządzenia w sieci publicznej, lecz także z właściwości protokołów przemysłowych, które nie zapewniają poufności i uwierzytelniania.

Dla operatorów infrastruktury krytycznej oznacza to konieczność szybkiego ograniczenia powierzchni ataku, wdrożenia twardej segmentacji, kontrolowanego zdalnego dostępu i ciągłego monitorowania komunikacji przemysłowej. W miarę postępu cyfryzacji przemysłu zaniedbania w tym obszarze będą prowadzić do coraz poważniejszych skutków operacyjnych i bezpieczeństwa.

Źródła

1. Security Affairs — https://securityaffairs.com/190525/ics-scada/internet-exposed-ics-devices-raise-alarm-for-critical-sectors.html
2. CISA — Cybersecurity Best Practices for Industrial Control Systems — https://www.cisa.gov/resources-tools/resources/cybersecurity-best-practices-industrial-control-systems
3. CISA — APT Cyber Tools Targeting ICS/SCADA Devices — https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-103a
4. CISA — Common Cybersecurity Vulnerabilities in Industrial Control Systems — https://www.cisa.gov/sites/default/files/recommended_practices/DHS_Common_Cybersecurity_Vulnerabilities_ICS_2010.pdf
5. CISA — Cybersecurity Best Practices for Industrial Control Systems (PDF) — https://www.cisa.gov/sites/default/files/publications/Cybersecurity_Best_Practices_for_Industrial_Control_Systems.pdf

Wprowadzenie do problemu / definicja

Ataki na systemy OT i ICS należą do najpoważniejszych zagrożeń dla infrastruktury krytycznej, ponieważ ich skutki wykraczają poza klasyczne naruszenie bezpieczeństwa IT. W przeciwieństwie do incydentów obejmujących wyłącznie dane lub systemy biurowe, kompromitacja sterowników PLC, interfejsów HMI czy platform SCADA może bezpośrednio wpłynąć na przebieg procesów przemysłowych, ciągłość działania usług publicznych oraz bezpieczeństwo operacyjne.

Najnowsze ostrzeżenie amerykańskich agencji federalnych wskazuje, że podmioty powiązane z Iranem prowadzą aktywną kampanię wymierzoną w dostępne z internetu urządzenia OT. Celem są przede wszystkim sterowniki PLC, a skutkiem ataków są realne zakłócenia operacyjne odnotowane w wielu sektorach infrastruktury krytycznej w Stanach Zjednoczonych.

W skrócie

Wspólne ostrzeżenie opublikowane 7 kwietnia 2026 r. opisuje działania irańsko powiązanych grup APT, które koncentrują się na publicznie dostępnych sterownikach przemysłowych. W centrum zainteresowania znalazły się urządzenia Rockwell Automation i Allen-Bradley, choć analiza ruchu sieciowego sugeruje, że zagrożenie może obejmować także rozwiązania innych producentów.

Atakujący uzyskiwali dostęp do sterowników, ingerowali w pliki projektowe oraz manipulowali danymi widocznymi na ekranach HMI i w systemach SCADA. W części przypadków przełożyło się to na zakłócenia pracy, przestoje i wymierne straty finansowe. Wśród zaatakowanych organizacji znalazły się podmioty z sektorów usług publicznych i samorządowych, wodno-kanalizacyjnego oraz energetycznego.

Kontekst / historia

Obecna kampania wpisuje się w szerszy i dobrze udokumentowany wzorzec aktywności irańskich aktorów wymierzonej w środowiska przemysłowe. Agencje federalne wskazują podobieństwa do wcześniejszych operacji przypisywanych grupie CyberAv3ngers, łączonej z irańskim Korpusem Strażników Rewolucji Islamskiej. Już w listopadzie 2023 r. pojawiały się ostrzeżenia dotyczące ataków na sterowniki PLC i panele HMI wykorzystywane w infrastrukturze krytycznej, zwłaszcza w sektorze wodociągów i oczyszczania ścieków.

Według najnowszych ustaleń bieżąca fala działań trwa co najmniej od marca 2026 r. i objęła wiele organizacji na terenie USA. To ważny sygnał dla operatorów infrastruktury, ponieważ wskazuje na przejście od klasycznych działań rozpoznawczych lub szpiegowskich do operacji nastawionych na efekt zakłócający. Nawet ograniczona manipulacja logiką sterowania albo warstwą wizualizacji może prowadzić do błędnych decyzji operatorów i destabilizacji procesu technologicznego.

Analiza techniczna

Z technicznego punktu widzenia kampania koncentruje się na urządzeniach PLC wystawionych bezpośrednio do internetu. Atakujący wykorzystywali zagraniczne adresy IP oraz infrastrukturę hostingową stron trzecich do nawiązywania połączeń z publicznie dostępnymi sterownikami. W przypadku urządzeń Rockwell Automation i Allen-Bradley wskazano użycie oprogramowania inżynierskiego, takiego jak Studio 5000 Logix Designer, do zestawiania zaakceptowanych połączeń z PLC.

Wśród zidentyfikowanych celów znalazły się między innymi urządzenia z rodzin CompactLogix i Micro850. Mechanizm działania obejmował złośliwą interakcję z plikami projektowymi sterownika oraz manipulację danymi prezentowanymi operatorom na HMI i w systemach SCADA. Oznacza to, że przeciwnik nie ograniczał się do prostego skanowania sieci czy prób logowania, ale ingerował w elementy bezpośrednio związane z logiką procesu i kontrolą operacyjną.

Agencje zwróciły uwagę również na ruch przychodzący kierowany na porty 44818, 2222, 102, 22 oraz 502. Taki zestaw jest istotny, ponieważ obejmuje zarówno porty kojarzone z platformami Rockwell, jak i protokoły używane przez innych dostawców OT, w tym rozwiązania Siemens S7. W praktyce może to oznaczać, że kampania ma szerszy zakres i nie jest ograniczona do jednej linii produktowej.

Dodatkowo na zaatakowanych endpointach odnotowano użycie narzędzia Dropbear SSH, co może wskazywać na próbę utrzymania trwałego zdalnego dostępu. Dla zespołów obronnych to istotny sygnał, ponieważ sugeruje możliwość przejścia od jednorazowej ingerencji do dłuższej obecności w środowisku, obejmującej rekonesans, zmianę konfiguracji lub przygotowanie kolejnych etapów operacji.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem tej kampanii jest bezpośrednie przełożenie incydentu cybernetycznego na warstwę fizyczną i operacyjną. Manipulacja danymi w HMI i SCADA może zafałszować obraz procesu technologicznego, utrudniając operatorom prawidłową ocenę sytuacji. Z kolei ingerencja w pliki projektowe PLC może prowadzić do błędnego działania automatyki, zakłócenia parametrów pracy, przestojów oraz problemów z jakością procesu.

Ryzyko jest szczególnie wysokie w organizacjach, które nadal utrzymują urządzenia OT bezpośrednio dostępne z internetu, nie stosują segmentacji sieci, nie wymuszają silnego uwierzytelniania i nie monitorują ruchu przemysłowego na poziomie protokołów. Dotyczy to zwłaszcza sektorów wodno-kanalizacyjnego, energetycznego i samorządowego, gdzie nawet krótkotrwałe zakłócenie może wywołać znaczną presję społeczną i operacyjną.

Nie można też pomijać ryzyka wtórnego. Jeżeli atakujący utrzymają trwały dostęp do środowiska, incydent może przekształcić się w długotrwałą kampanię obejmującą sabotaż punktowy, zmianę ustawień urządzeń, przygotowanie kolejnych działań lub ukrytą obecność w infrastrukturze przez dłuższy czas. W środowiskach OT usuwanie skutków kompromitacji bywa trudniejsze niż w klasycznym IT, ponieważ systemy przemysłowe często działają latami bez głębszej modernizacji, a okna serwisowe są ograniczone.

Rekomendacje

Priorytetem powinno być natychmiastowe usunięcie sterowników PLC i innych urządzeń OT z bezpośredniej ekspozycji do internetu. Zdalny dostęp należy realizować wyłącznie przez kontrolowane mechanizmy, takie jak segmentacja sieci, zapory, dedykowane bramy oraz VPN z silnym uwierzytelnianiem. Organizacje powinny również przeprowadzić pełną inwentaryzację publicznie dostępnych zasobów OT i zweryfikować, czy nie są osiągalne z sieci globalnej.

Zespoły bezpieczeństwa powinny przeanalizować logi pod kątem nietypowego ruchu na portach 44818, 2222, 102, 22 i 502, szczególnie jeśli połączenia pochodzą z zagranicznych adresów IP albo z infrastruktury hostingowej, która nie jest standardowo wykorzystywana przez integratorów lub dostawców serwisu. Warto skorelować dane z zapór, systemów VPN, serwerów inżynierskich, stacji operatorskich i punktów zdalnego dostępu.

W środowiskach opartych na rozwiązaniach Rockwell zalecane jest włączenie dostępnych funkcji bezpieczeństwa kontrolerów i stosowanie aktualnych zaleceń producenta. W części przypadków wskazuje się również na zasadność ustawienia fizycznego przełącznika trybu pracy sterownika w pozycji run, co może ograniczyć możliwość nieautoryzowanej modyfikacji logiki sterowania. Każda taka decyzja powinna jednak uwzględniać specyfikę procesu technologicznego i wymagania operacyjne.

• wydzielenie stref OT i ograniczenie połączeń z IT do niezbędnego minimum,
• monitorowanie integralności plików projektowych oraz konfiguracji PLC,
• kontrola użycia narzędzi inżynierskich w sieci,
• wdrożenie list dozwolonych połączeń dla zdalnego serwisu,
• przetestowanie planów reagowania na incydenty obejmujących scenariusze zakłócenia procesu przemysłowego,
• ścisła współpraca z producentami urządzeń, integratorami i odpowiednimi zespołami reagowania.

Podsumowanie

Kampania opisana przez amerykańskie agencje pokazuje, że infrastruktura krytyczna nadal pozostaje celem ataków wymierzonych bezpośrednio w warstwę sterowania przemysłowego. Kluczowym wektorem pozostaje ekspozycja urządzeń OT do internetu, a skutkiem kompromitacji mogą być rzeczywiste zakłócenia operacyjne, straty finansowe i wzrost ryzyka dla bezpieczeństwa procesów.

Dla operatorów infrastruktury krytycznej jest to kolejny wyraźny sygnał, że bezpieczeństwo OT nie może być traktowane jako dodatek do cyberbezpieczeństwa IT. Najważniejsze działania obronne obejmują eliminację publicznej dostępności PLC, segmentację środowiska, monitorowanie portów i protokołów przemysłowych oraz bieżącą walidację integralności projektów i konfiguracji sterowników.

Źródła

1. https://www.securityweek.com/iran-linked-hackers-disrupt-us-critical-infrastructure-via-plc-attacks/
2. https://www.ic3.gov/CSA/2026/260407.pdf
3. https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1771.html
4. https://www.cisa.gov/topics/cyber-threats-and-advisories/advanced-persistent-threats/iran
5. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-335a