Aproape 4.000 de dispozitive industriale din SUA, vulnerabile la atacuri cibernetice iraniene - Agențiile federale avertizează asupra riscurilor pentru infrastructura critică

Aproape 4.000 de controlere industriale din SUA sunt expuse pe internet , ceea ce lărgește semnificativ suprafața de atac pentru campanii atribuite unor grupuri de hackeri legați de Iran, cu efecte deja raportate în zona de infrastructură critică. Datele apar într-o analiză BleepingComputer , care leagă expunerea masivă de atacuri în desfășurare asupra echipamentelor Rockwell Automation/Allen-Bradley. Atacurile vizează controlere logice programabile (PLC – echipamente folosite pentru automatizarea proceselor industriale) și, potrivit unui avertisment comun emis marți de mai multe agenții federale americane, grupuri susținute de statul iranian ar fi țintit aceste dispozitive începând din martie 2026. Avertismentul indică „perturbări operaționale și pierderi financiare” în urma incidentelor. În același context, agențiile avertizează că intensificarea campaniilor APT (atacatori avansați, de regulă cu resurse și obiective strategice) ar putea fi legată de escaladarea ostilităților dintre Iran și Statele Unite și Israel. De ce contează: expunerea pe internet este concentrată în SUA Firma de securitate Censys a raportat că, din peste 5.200 de sisteme de control industrial identificate ca fiind expuse online la nivel global și care răspund la EtherNet/IP (EIP) și se identifică drept dispozitive Rockwell Automation/Allen-Bradley, 74,6% sunt în Statele Unite – adică 3.891 de gazde . Censys mai indică faptul că o parte disproporționată a expunerii din SUA apare în rețele ale operatorilor celulari (ASNs), ceea ce sugerează dispozitive instalate „în teren” și conectate prin modemuri celulare – un scenariu care poate complica inventarierea și controlul accesului în mediile operaționale (OT). Ce au observat autoritățile în atacuri Potrivit FBI, activitatea investigată a inclus: extragerea fișierului de proiect al dispozitivului; manipularea datelor afișate în interfețele HMI și SCADA (panouri și sisteme de supraveghere/control industrial). Recomandări operaționale pentru reducerea riscului Pentru apărare, recomandările menționate includ măsuri de bază, dar cu impact direct în OT: protejarea PLC-urilor cu firewall sau deconectarea lor de la internet; verificarea jurnalelor pentru indicii de activitate malițioasă; monitorizarea traficului suspect pe porturi OT, mai ales când provine de la furnizori de găzduire din afara țării; impunerea autentificării multifactor (MFA) pentru accesul la rețele OT; actualizarea echipamentelor și dezactivarea serviciilor/metodelor de autentificare nefolosite. Context: un tipar recurent al campaniilor atribuite Iranului Campania actuală urmează unor atacuri similare de acum aproape trei ani, când un grup asociat Gardienilor Revoluției (IRGC), urmărit sub numele CyberAv3ngers, a exploatat vulnerabilități în sisteme OT Unitronics din SUA. Atunci au fost compromise cel puțin 75 de PLC-uri, circa jumătate în rețele de infrastructură critică din sectorul apă și ape uzate. Separat, BleepingComputer menționează și un incident mai recent atribuit grupului hacktivist Handala (legat de Ministerul iranian al Informațiilor), care ar fi șters aproximativ 80.000 de dispozitive din rețeaua companiei americane Stryker. În lipsa unor detalii publice suplimentare despre organizațiile afectate în valul început în martie 2026, dimensiunea expunerii (mii de PLC-uri accesibile din internet) rămâne principalul indicator al riscului operațional și financiar pentru operatorii care folosesc astfel de echipamente. [...]