Съдържание на статията
ФБР съобщава за опасна атака
Федералните служби в САЩ издадоха спешно предупреждение към операторите на критична инфраструктура, след като групи, свързвани с Иран, са проникнали в системи за управление на нефт, газ и водоснабдяване и са предизвикали реални прекъсвания на работата. Разкритията идват в деня, в който САЩ и Иран се договориха за двуседмично прекратяване на огъня като един необичаен контраст между дипломатическо затишие и ескалиращи кибератаки.
Какво е било засегнато
Според съвместния доклад на ФБР, CISA, NSA, Министерството на енергетиката, EPA и US Cyber Command, атаките са довели до спиране на индустриални процеси в няколко американски обекта. Част от системите са били принудени да преминат в ръчен режим, а някои оператори са понесли финансови загуби. Източници, запознати с разследването, потвърждават, че са засегнати множество нефтени, газови и водни съоръжения.
Това, което отличава кампанията, е директното манипулиране на системи за безопасност, а това са критично важни механизми, създадени да предотвратяват аварии и да защитават човешки живот. Не става дума за шпионаж, а за опити за намеса в контрола, който разделя нормалната работа от потенциално катастрофални последствия.
Как е извършена атаката
Хакерите са се насочили към програмируеми логически контролери (PLC), използвани за управление на физическо оборудване. Целта им са били устройства от серията Allen‑Bradley на Rockwell Automation. След проникване в системите те са променяли проектни файлове и данни, видими на интерфейсите, които операторите използват за наблюдение на процесите. Двама от източниците твърдят, че е имало опити за внедряване на „wiper“ зловреден код, предназначен да изтрие данни необратимо. Rockwell и Siemens вече издадоха предупреждения за своите клиенти.
ФБР проследява първите прониквания до януари миналата година, като всички известни неоторизирани достъпи приключват през март.
Уязвимостта в основата на атаката
Кампанията се възползва от CVE‑2021‑22681. Това е уязвимост в Rockwell Studio 5000 Logix Designer, която позволява заобикаляне на удостоверяването. Чрез него атакуващите могат да извлекат криптографски ключ и да комуникират директно с контролерите, без да преминават през защитните механизми. Rockwell актуализира препоръките си през март, като настоява клиентите да изолират устройствата от интернет и да подсилят средата си за PLC управление.
Въпреки предупрежденията, експозицията остава значителна. Според Nozomi Networks над 3000 Rockwell устройства все още са достъпни публично, често поради незнание за проблема или поради подценяване на риска.
Опасна уязвимост с възможни опасни последици
Експерти отбелязват, че атакуването на интернет‑достъпни PLC устройства отваря възможност не само за моментни прекъсвания, но и за промяна на параметри, които могат да доведат до физически щети. Подобни действия представляват ескалация спрямо предишни кампании, свързвани с ирански групи.
Rockwell Automation има дългогодишни връзки с енергийния сектор, включително съвместни проекти с международни компании. Междувременно други американски организации също са били засегнати, например производителят на медицинска техника Stryker, след компрометиране на неговата Microsoft Intune среда.
Продължаваща заплаха
Докладът на американските разузнавателни служби за 2025 г. посочва, че Иран поддържа постоянна готовност да атакува САЩ и съюзниците им чрез кибероперации. Настоящата кампания следва модела от 2023–2024 г., когато групи, свързвани с Иран, компрометираха десетки водни системи в САЩ чрез уязвимости в Unitronics PLC.
Федералните служби препоръчват активиране на многофакторна автентикация, премахване на индустриални контролери от публичния интернет, проверка на логове и поставяне на физическите превключватели на Rockwell устройствата в режим „run“.
Геополитически фон
Прекратяването на огъня между САЩ и Иран беше постигнато часове преди крайния срок, поставен от президента Доналд Тръмп. Споразумението включва координация на корабоплаването през Ормузкия проток като ключово условие в преговорите. Конфликтът вече е оказал значително влияние върху глобалните пазари и енергийния сектор, а в Техеран новината е посрещната с демонстрации по улиците. Въпреки прекратяването на огъня обаче, изглежда Иран не спират с атаките на друго ниво, също толкова опасно.
