Иранские хакеры атакуют промышленные контроллеры в США

Правительство США зафиксировало методичные атаки иранских хакеров на объекты критической инфраструктуры через промышленные контроллеры, имеющие выход в интернет. О ситуации сообщило Агентство по кибербезопасности и защите инфраструктуры совместно с Федеральным бюро расследований, Агентством национальной безопасности и Агентством по охране окружающей среды, Минэнерго и Киберкомандованием Армии США 7 апреля 2026 года. Злоумышленники манипулировали проектными файлами контроллеров, вмешивались в HMI и SCADA-системы. В нескольких случаях дело дошло до реальных операционных сбоев и финансовых потерь.

APT-группировки, связанные с Ираном, начали атаки ещё месяц назад, сразу после ударов США и Израиля по Ирану. Их целью были программируемые логические контроллеры Rockwell Automation и Allen-Bradley.

Конкретных виновников ведомства не назвали, но намекнули на группу CyberAv3ngers, она же Shahid Kaveh Group. Спикеры утверждают, что Shahid Kaveh Group работают на киберэлектронное командование Корпуса стражей исламской революции Ирана. В ноябре 2023 года хакеры из этой группировки уже взламывали как минимум 75 контроллеров Unitronics с HMI по всем США, включая системы водоотведения.

Хакеры используют зарубежные IP-адреса и арендованную у сторонних хостеров инфраструктуру, подключаются через программное обеспечение для конфигурации, в частности Rockwell Automation Studio 5000 Logix Designer, и устанавливают легитимное с виду соединение. Таким способом под ударом оказались контроллеры CompactLogix и Micro850.

Вредоносный трафик шёл через порты 44818, 2222, 102, 22, 502, T0885. Такой набор означает, что, кроме Rockwell, могли пострадать Siemens S7 и устройства других производителей. Для удалённого доступа злоумышленники разворачивали Dropbear SSH на конечных точках жертв через порт 22.

Ведомства США призывают объекты критической инфраструктуры срочно принимать меры. До объявления перемирия президент США Дональд Трамп грозил нанести иранским электростанциям серьёзный ущерб, что может спровоцировать более интенсивные ответные кибератаки.

Специалисты отмечают, что истоки проблемы лежат значительно глубже текущего конфликта. Промышленные контроллеры годами находятся в открытом интернете, и это системная проблема архитектуры, которая лишь усиливается атаками национальных APT-группировок.

Агентство по кибербезопасности рекомендовало объектам КИИ убрать контроллеры из прямого доступа к интернету и установить нормальные шлюзы с фаерволами. Службам безопасности предписано проверить логи указанных портов на подозрительный трафик, особенно от зарубежных хостинг-провайдеров.