Иранские хакеры атакуют критическую инфраструктуру США: под угрозой водоснабжение и энергетика

Шесть американских федеральных ведомств — ФБР, CISA, АНБ, EPA, Министерство энергетики и US Cyber Command — выпустили совместное экстренное предупреждение: проиранская APT-группа целенаправленно атакует промышленные программируемые логические контроллеры (PLC) на объектах критической инфраструктуры США. Атаки, по версии ведомств, являются ответом на продолжающееся военное противостояние между двумя странами. Часть организаций-жертв уже столкнулась с нарушением производственных процессов и финансовыми потерями.

Что такое PLC и почему они уязвимы

Программируемые логические контроллеры — небольшие устройства размером примерно с тостер — служат связующим звеном между программным обеспечением автоматизации и физическим оборудованием. Они установлены на заводах, водоочистных станциях, нефтеперерабатывающих предприятиях и других промышленных объектах, нередко в труднодоступных или удалённых локациях.

Именно удалённость делает их особенно уязвимыми: для дистанционного управления такие устройства часто подключают напрямую к интернету, не уделяя должного внимания защите. Компания по кибербезопасности Censys провела сканирование сети и обнаружила 5 219 PLC, доступных из интернета без дополнительной защиты. 75% из них находились на территории США.

Масштаб атак и затронутые секторы

Согласно совместному advisory, атаки фиксируются как минимум с марта 2026 года. Под удар попали сразу несколько секторов: государственные учреждения и объекты, системы водоснабжения и водоотведения, а также энергетическая отрасль. Ведомства подчёркивают, что выявили инциденты в ходе непосредственного взаимодействия с организациями-жертвами — то есть речь идёт не о теоретических угрозах, а о подтверждённых случаях компрометации.

Среди конкретных целей атакующих — контроллеры производства Rockwell Automation / Allen-Bradley, одного из крупнейших мировых поставщиков промышленной автоматики. Именно эти устройства составляют значительную долю из почти 5 тысяч уязвимых PLC, выявленных Censys.

Инфраструктура, с которой ведутся атаки, описана в предупреждении как «единственная многосетевая инженерная рабочая станция под управлением Windows с установленным инструментарием Rockwell». Это говорит о том, что злоумышленники используют легитимное программное обеспечение производителя для взаимодействия с контроллерами — такой подход существенно затрудняет обнаружение атаки стандартными средствами мониторинга.

Геополитический контекст и тактика APT-группы

Американские ведомства прямо связывают активность группы с иранским правительством и рассматривают её как элемент более широкого противостояния между двумя странами. Подобная атрибуция — редкость для публичных advisory: как правило, официальные документы избегают прямых обвинений в адрес государственных акторов без весомых доказательств.

Тактика атак на промышленные системы управления (ICS/SCADA) через интернет-доступные PLC не нова, однако масштаб и одновременный охват нескольких секторов инфраструктуры свидетельствуют о скоординированной кампании, а не об оппортунистических взломах. Ключевая цель — не кража данных, а нарушение физических процессов: остановка насосов, отключение подачи электроэнергии, сбои в работе очистных систем.

Что это значит для белорусских компаний и специалистов

Для белорусской аудитории эта история актуальна сразу в нескольких измерениях. Во-первых, оборудование Rockwell Automation широко применяется на промышленных предприятиях по всему миру, включая постсоветское пространство. Если ваша компания использует Allen-Bradley PLC с выходом в интернет — это повод немедленно проверить сетевую сегментацию.

Во-вторых, атаки на OT-инфраструктуру (операционные технологии) становятся глобальным трендом. Белорусские резиденты ПВТ, работающие в сфере промышленной кибербезопасности и ICS-защиты, получают дополнительный аргумент в пользу востребованности своих решений на международных рынках. Спрос на специалистов по безопасности АСУ ТП в ближайшие годы будет только расти.

Наконец, инцидент наглядно демонстрирует: даже устройства без очевидной «цифровой ценности» — без баз данных и персональных данных — могут стать вектором атаки с реальными физическими последствиями. Безопасность промышленных систем перестала быть уделом исключительно крупных государственных структур.

— По материалам Ars Technica: оригинальная статья. Перевод и адаптация — редакция Digital Business.