Связанные с Ираном хакеры нарушили работу объектов критической инфраструктуры США.
По мере обострения войны между США и Израилем, участились и хакерские атаки на промышленные объекты США.
Фото: Мирсад Сарайлич/Getty Кредит: Мирсад Сарайлич/Getty Текстовые настройки Текст рассказа Размер Маленький Стандартный Большой Ширина * Стандартный Широкий Ссылки Стандартный Оранжевый * Только для подписчиков
Узнать больше Свернуть в навигацию
Хакеры, работающие по поручению иранского правительства, срывают работу нескольких объектов критической инфраструктуры США, вероятно, в ответ на продолжающуюся войну страны с США, предупреждают полдюжины правительственных ведомств.
В опубликованном во вторник предупреждении ФБР, Агентство по кибербезопасности и защите инфраструктуры, Агентство национальной безопасности, Агентство по охране окружающей среды, Министерство энергетики и Киберкомандование США «срочно» предупредили, что APT (Advanced Persistent Threat Group) нацелена на ПЛК (программируемые логические контроллеры). Эти устройства, обычно размером с тостер, используются на заводах, водоочистных сооружениях, нефтеперерабатывающих заводах и других промышленных объектах, часто в удаленных местах. Они обеспечивают интерфейс между компьютерами, используемыми для автоматизации, и физическим оборудованием.
Сбои в работе и финансовые потери
«По меньшей мере с марта 2026 года организации-разработчики выявили (в ходе взаимодействия с организациями-жертвами) связанную с Ираном APT-группу, которая нарушала работу ПЛК», — говорится в сообщении. «Эти ПЛК были развернуты в различных секторах критической инфраструктуры США (включая государственные службы и объекты, системы очистки сточных вод и энергетический сектор) в рамках широкого спектра процессов промышленной автоматизации. Некоторые из пострадавших столкнулись с операционными сбоями и финансовыми потерями».
Среди взломанных или целевых ПЛК — устройства производства Rockwell Automation/Allen-Bradley. Компания Censys, специализирующаяся на информационной безопасности, сообщила в среду, что проведенное ею сканирование интернета выявило 5219 таких устройств, находящихся в открытом доступе. Целых 75 процентов из них расположены в США и, вероятно, в удаленных местах, где находится оборудование. Инфраструктура, используемая для атаки на эти устройства, представляет собой «единую многоканальную рабочую станцию Windows для инженеров, работающую с инструментальной цепочкой Rockwell».
«Текущая кампания предполагает прямой доступ к ПЛК, подключенным к интернету, с использованием легитимного программного обеспечения поставщика (Rockwell Studio 5000 Logix Designer), что позволяет злоумышленникам взаимодействовать с файлами проекта и манипулировать данными отображения HMI/SCADA без необходимости использования уязвимостей нулевого дня», — заявила компания. «Подтвержденные целевые семейства устройств включают CompactLogix и Micro850».
Рабочая станция подключается к ПЛК с использованием протокола удаленного рабочего стола (Remote Desktop Protocol) через нестандартный TCP-порт 43589. Она использует самоподписанный сертификат с общим именем DESKTOP-BOE5MUC. Хосты также предоставляют полный стек протоколов Windows (DCERPC/135, MSMQ, NetBIOS).
В опубликованном во вторник сообщении говорилось, что также изучаются другие протоколы операционных технологий, такие как Modbus S7/10, что указывает на то, что объектом проверки являются и ПЛК других производителей.
Хакеры, действующие от имени Корпуса стражей исламской революции Ирана, и раньше атаковали промышленные объекты в США. В 2023 году группа, известная как «CyberAv3ngers», нарушила работу ПЛК и человеко-машинных интерфейсов в США. По меньшей мере 75 устройств в нескольких критически важных секторах инфраструктуры были скомпрометированы.
В середине марта, всего через день после того, как США и Израиль нанесли авиаудары по Ирану, транснациональная компания по производству медицинского оборудования Stryker подтвердила кибератаку, которая на несколько дней вывела из строя большую часть ее инфраструктуры. Исследователи также подтвердили, что за это ответственна проиранская хакерская группа, известная как Handala, как она и утверждала в социальных сетях. Handala также стояла за взломом личной электронной почты директора ФБР Каша Пателя в прошлом месяце. В электронном письме компания Flashpoint, занимающаяся вопросами безопасности, заявила, что проиранские прокси-группы также успешно проводят DDoS-атаки на «крупные платформы, такие как Netflix и Pinterest, а также на порталы австралийского правительства».
В сообщениях от вторника и среды указаны IP-адреса и другие идентификаторы инфраструктуры злоумышленников. В них также содержатся рекомендации по блокировке ПЛК. По мере продолжения войны с Ираном подобные кибератаки, вероятно, будут усиливаться.
Источник: arstechnica.com
Похожие записи
Оцените материал:
Похожие записи
Четыре дизайнера интерьеров рассказали нам, какие умные гаджеты вам действительно стоит купить.
02.05.2026
Разработчики представили прототип интерфейса, который фиксирует движение губ, тепло и влажность для мгновенной трансляции физических ощущений через интернет
11.07.2026
Компания Sheetz выходит из состава VMware и переводит 11 000 виртуальных машин.
17.07.2026Присоединяйтесь и подпишитесь на рассылку самых свежих новостей по Email
Получайте свежие новости и идеи на почту. Без спама — только самое интересное.
Нажимая «Подписаться», вы соглашаетесь с политикой конфиденциальности.
