Ескалация на кибероперации срещу САЩ с потенциал за реални физически щети

Американски и международни агенции алармират за активна кампания на ирански хакерски групи, насочена към индустриални контролни системи (ICS), използвани в критична инфраструктура.

Според съвместен доклад на ФБР, CISA, NSA и други институции, атаките са насочени към програмируеми логически контролери (PLC) на Rockwell Automation и серията Allen-Bradley PLC.

Какво представлява атаката

Кампанията таргетира директно достъпни от интернет PLC устройства, което е критична грешка в конфигурацията на много индустриални среди.

Атакуващите могат да:

• Извличат проектни файлове от PLC системите
• Манипулират данни в SCADA и HMI интерфейси
• Променят логиката на управление на индустриални процеси

Това създава реален риск от физически щети и прекъсване на услуги.

Засегнати сектори

Атаките обхващат ключови области на критичната инфраструктура:

• Държавни услуги
• Водоснабдяване и пречистване
• Енергетика

От март 2026 г. насам са регистрирани:

• Финансови загуби
• Оперативни прекъсвания

Геополитически контекст

Според анализа на ФБР:

Ескалацията на атаките е вероятно свързана с напрежението между Иран, САЩ и Израел.

Това поставя кампанията в категорията на:

• Държавно подкрепени операции
• Хибридни кибер- и геополитически конфликти

Исторически прецедент: CyberAv3ngers

Подобна активност е наблюдавана още през 2023 г., когато групата CyberAv3ngers компрометира:

• Най-малко 75 PLC устройства
• Основно в сектор водоснабдяване

Тези атаки бяха свързани с Иранската революционна гвардия (IRGC).

Методология на атаката

Атакуващите използват комбинация от:

• Достъп до открити PLC устройства
• Експлоатация на слаби или липсващи защити
• Манипулация на индустриални протоколи

Ключов риск:
ICS системите често не са проектирани с мисъл за киберсигурност, което ги прави лесна мишена.

Връзка с други атаки

Кампанията се вписва в по-широк модел на активност, включително:

• Атаки срещу медицинския гигант Stryker от групата Handala
• Използване на платформи като Telegram за разпространение на зловреден софтуер

Kритични слабости в OT средите

1. Интернет-достъпни PLC устройства
Основна и системна уязвимост.

2. Липса на сегментация
IT и OT мрежи често не са адекватно разделени.

3. Недостатъчна автентикация
Често се използват стандартни или остарели механизми.

Препоръки за защита

Агенциите препоръчват незабавни мерки:

• Изключване на PLC от интернет или защита чрез firewall
• Въвеждане на многофакторна автентикация (MFA)
• Актуализация на firmware
• Деактивиране на неизползвани услуги
• Мониторинг на OT трафик, особено от външни източници
• Анализ на логове за индикатори за компрометиране

Настоящата кампания показва ясно, че киберзаплахите вече не са само дигитален проблем – те могат да доведат до реални физически последствия.

Индустриалните системи се превръщат в ключова фронтова линия в съвременните геополитически конфликти, а тяхната защита изисква стратегически, а не реактивен подход.