In den letzten Wochen ist das Risiko, dass Cybersicherheitsspezialisten seit Jahren warnen, deutlich geworden: programmierbare logische Controller oder PLC, die dem Internet ausgesetzt sind, sind zu einem direkten Ziel von Kampagnen geworden, die mit Zuständen mit offensiven Computerfunktionen verbunden sind. Eine gemeinsame Bekanntmachung der US-Bundesbehörden. Die USA weisen darauf hin, dass Gruppen im Zusammenhang mit der iranischen Regierung ihre Bemühungen auf Rockwell Automation / Allen-Bradley-Geräte seit März 2026 konzentriert haben, was Betriebsunterbrechungen und wirtschaftliche Verluste in kritischen Infrastrukturnetzen verursacht.
Die Gefahr ist nicht theoretisch: Angreifer greifen nicht nur auf die Ausrüstung, sie extrahieren Projektdateien und manipulieren, was HMI-Panels und SCADA-Systeme zeigen. nach den von den Agenturen zitierten Untersuchungen. Diese Kombination - die Exfiltration von Konfiguration und Änderung der Kontrollschnittstellen - ist besonders störend, weil sie sowohl die tiefe Erkennung der Anlage als auch die Durchführung von Änderungen ermöglicht, die für Betreiber, die in falschen Messwerten vertraut sind, unbemerkt bleiben können.
Eine von der Censys Internet Zensor-Firma veröffentlichte Angriffsoberflächenanalyse identifizierte mehr als 5.200 Hosts, die auf das EtherNet / IP-Protokoll reagieren und als Rockwell / Allen-Bradley-Geräte selbstdefiniert sind. Censys erklärt dass etwa drei Viertel dieser Geräte in den Vereinigten Staaten physisch sind und dass ein signifikanter Prozentsatz in den in sich geschlossenen Systemen (NSA) von Zellbetreibern auftritt, was auf Feldeinsätze im Zusammenhang mit Zellmodi hindeutet.
Die Tatsache, dass viele PLC aus dem öffentlichen Netz zugänglich sind, ist kein Zufall: Faktoren wie Standardkonfigurationen, das Fehlen von Firewalls zwischen dem industriellen und öffentlichen Netzwerk, schlecht gesicherter Fernzugriff oder die Verwendung von Zellverbindungen ohne Segmentierung können ein Kontrollteam in ein offenes Fenster innerhalb einer Anlage verwandeln. Darüber hinaus zeigen industrielle Protokolle wie EtherNet / IP oft Signaturen und Metadaten, die die automatisierte Identifizierung von gefährdeten Geräten erleichtern.
Dieser Aktivitätsausbruch ist in einem größeren Trend. 2023 und Anfang 2024 konzentrierte eine Gruppe wie CyberAv3ngers ihre Kampagnen auf Unitronics-Controller und erreichte Verpflichtungen in Wasser- und Sanitärsystemen in den Vereinigten Staaten; CISA-Benachrichtigung in diesem Fall Dokumente Taktiken und Empfehlungen, die heute wieder relevant sind. Auf der anderen Seite haben Berichte von Sicherheitsunternehmen Akteure wie Handala zu massivem Löschen von Geräten in großen Unternehmensnetzwerken verknüpft, was das Ausmaß der Techniken zeigt, die Gruppen mit verschiedenen Zielen verwenden können.
Angesichts dieses Szenarios sind defensive Maßnahmen klar, aber anspruchsvoll: Isolierung und Segmentierung der OT-Netzwerke, Verhinderung von PLC und HMI direkt aus dem Internet zugänglich zu sein, und Anwendung von Perimeter-Kontrollen einschließlich Firewalls und Gateway, die für den industriellen Verkehr spezifisch sind. Es ist auch wichtig, eine robuste Authentifizierung - wie Multifaktor-Verifikation - für den Fernzugriff anzuwenden, die Firmware und Projekte auf dem neuesten Stand mit offiziellen Hersteller-Patches zu halten und ungenutzte Authentifizierungsdienste und -methoden zu deaktivieren.
Früherkennung kann einen Unterschied machen: Überwachung der Aufzeichnungen von Geräten und Netzflüssen auf der Suche nach ungewöhnlichen Mustern, Überprüfung eingehender Verbindungen von ausländischen Hosting-Anbietern oder NSA von Zellbetreibern und kontrollierte Scans zur Identifizierung von exponierten Hosts sollten Teil des regelmäßigen Betriebs von Geräten sein, die für kritische Infrastrukturen verantwortlich sind. Darüber hinaus sollten die zuständigen Behörden und der Hersteller selbst benachrichtigt werden, um Antworten und Minderungen zu koordinieren.
Betreiber sind nicht allein: Hersteller und öffentliche Einrichtungen veröffentlichen technische Anleitungen und Hinweise, die verfolgt werden sollen. Rockwell Automation hält Kommunikationskanäle und Sicherheitshinweise auf seinem Support-Portal aufrecht; beraten Sie sie, um spezifische Minderungen für Ihre SPS anzuwenden. Die NIST SP 800-82 bietet einen konsolidierten technischen Rahmen, den viele Organisationen als Referenz nutzen ( NIST SP 800-82)
Es wird auch empfohlen, die öffentlichen Analysen und technischen Anmerkungen zu überprüfen, dass spezialisierte Cybersicherheitsunternehmen auf spezifischen Kampagnen und Tools veröffentlichen; der oben zitierte Censys-Bericht liefert Expositionsdaten und Erkennungstrends; und Unit42 de Palo Alto hat andere Operationen dokumentiert, die den iranischen Akteuren zugeschrieben wurden, die dazu beitragen, wiederkehrende Taktiken, Techniken und Verfahren zu verstehen.
Die Lektion ist einfach, aber dringend: In einer Welt, in der Remote-Konnektivität Teil des Standardbetriebs ist, kann die Sicherheit von Industriegeräten nicht eine sekundäre Verantwortung bleiben. Schutz von SPS, Segmentierungsnetzwerken und aktive Überwachung sind Maßnahmen, die von Produktionsstopps zu öffentlichen Sicherheitsrisiken vermeiden, und ihre Umsetzung sollte eine Priorität für jede Organisation sein, die kritische Infrastruktur verwaltet.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...