Ιρανοί hackers χτυπούν αμερικανικές κρίσιμες υποδομές μέσω PLCs: έκτακτη προειδοποίηση FBI και CISA

Έξι αμερικανικές ομοσπονδιακές υπηρεσίες εξέδωσαν στις 7 Απριλίου 2026 κοινή έκτακτη προειδοποίηση για ιρανικές κυβερνοεπιθέσεις που έχουν ήδη προκαλέσει διακοπές σε αμερικανικές κρίσιμες υποδομές. Οι επιθέσεις, τις οποίες οι αρχές συνδέουν με τις εχθροπραξίες μεταξύ Ιράν, ΗΠΑ και Ισραήλ, στοχεύουν PLCs των Rockwell Automation και Allen-Bradley σε εγκαταστάσεις ύδρευσης και αποχέτευσης, ενέργειας και κυβερνητικών υπηρεσιών, και είναι ενεργές τουλάχιστον από τον Μάρτιο του 2026. Η κοινή προειδοποίηση συνυπογράφεται από το FBI, τη CISA, την NSA, την EPA, το Υπουργείο Ενέργειας και το US Cyber Command.

Τι έχει ήδη συμβεί

Σύμφωνα με το advisory, τουλάχιστον από τον Μάρτιο 2026 ο ιρανικός APT έχει διαταράξει τη λειτουργία PLCs σε πολλαπλούς τομείς κρίσιμης υποδομής, μεταξύ των οποίων κυβερνητικές εγκαταστάσεις, συστήματα ύδρευσης και αποχέτευσης (WWS) και τομέας ενέργειας. Ορισμένα από τα θύματα υπέστησαν διακοπές λειτουργίας και οικονομικές ζημίες. Το FBI επιβεβαίωσε ότι η δραστηριότητα είχε ως αποτέλεσμα την εξαγωγή project files των συσκευών και την παραποίηση δεδομένων που εμφανίζονται σε HMI και SCADA displays.

Οι επιτιθέμενοι παραποιούσαν τα δεδομένα που εμφανίζονται στα SCADA HMI displays, με αποτέλεσμα οι χειριστές να βλέπουν ψευδείς ενδείξεις διεργασιών ενώ οι κακόβουλες τροποποιήσεις στη λογική ελέγχου εκτελούνταν στο παρασκήνιο αήττητα. Το advisory αποτελεί την πρώτη δημόσια προειδοποίηση αυτού του είδους για απειλές κατά εγχώριων κρίσιμων υποδομών από την έναρξη του πολέμου ΗΠΑ-Ιράν.

Η τεχνική μέθοδος: νόμιμο software ως όπλο

Οι επιτιθέμενοι, οι οποίοι παρακολουθούνται ως CyberAv3ngers (γνωστοί επίσης ως Shahid Kaveh Group, Hydro Kitten, Storm-0784, Bauxite και UNC5691), στοχεύουν CompactLogix και Micro850 PLCs της Rockwell Automation που είναι άμεσα εκτεθειμένα στο internet ή προσβάσιμα χωρίς επαρκείς ελέγχους αυθεντικοποίησης. Εκμεταλλεύονται την απουσία περιορισμών δικτυακής πρόσβασης και αδύναμα ή default credentials, χρησιμοποιώντας το ίδιο το λογισμικό Studio 5000 Logix Designer της Rockwell Automation ως εργαλείο πρόσβασης. Αυτό σημαίνει ότι δεν χρειάστηκαν zero-day exploits: η επίθεση αξιοποιεί αποκλειστικά εκτεθειμένες συσκευές και νόμιμα εργαλεία του κατασκευαστή.

Αφού αποκτούσαν αρχική πρόσβαση, οι επιτιθέμενοι ανέπτυσσαν το Dropbear SSH software στην πόρτα 22 για να εγκαθιδρύσουν ένα persistent κανάλι command and control, και στη συνέχεια εξήγαν, τροποποιούσαν και αναδιανέμανταν τα project files των PLCs. Για command and control χρησιμοποιούσαν ports 44818, 2222, 102, 22 και 502, και ανέπτυσσαν SSH tools όπως το Dropbear για απομακρυσμένη πρόσβαση. Η εταιρεία ασφαλείας Censys εντόπισε σε internet scan που πραγματοποίησε 5.219 τέτοιες συσκευές εκτεθειμένες στο διαδίκτυο, με το 75% αυτών να βρίσκεται στις ΗΠΑ.

Πιθανή διεύρυνση σε Siemens και άλλους κατασκευαστές

Το advisory επεσήμανε επίσης ότι δραστηριότητα σε ports που σχετίζονται με Siemens S7 PLC protocols "υποδηλώνει ότι οι επιτιθέμενοι ενδεχομένως στοχεύουν και συσκευές άλλων κατασκευαστών πέραν της Rockwell Automation." Σύμφωνα με τη CISA, άλλες μάρκες PLCs ενδέχεται να βρίσκονται σε κίνδυνο, συμπεριλαμβανομένης της Siemens S7, που χρησιμοποιείται ευρέως σε Ευρώπη και Ασία. Το εύρος της επίθεσης, συνεπώς, δεν περιορίζεται στη βορειοαμερικανική αγορά όπου κυριαρχεί η Rockwell.

Threat intelligence από την Check Point Research επισήμανε ότι πανομοιότυπα targeting patterns εμφανίστηκαν εναντίον ισραηλινών PLCs τον Μάρτιο 2026, πριν εκδοθεί το αμερικανικό advisory, γεγονός που δείχνει προς μια συντονισμένη, πολυμέτωπη επιχείρηση. Ο Sergey Shykevich, threat intelligence group manager στη Check Point Research, δήλωσε ότι "η κυβερνο-κλιμάκωση του Ιράν ακολουθεί γνωστό playbook" και ότι "οι ιρανικοί threat actors κινούνται πλέον γρηγορότερα και σε μεγαλύτερη κλίμακα, στοχεύοντας τόσο IT όσο και OT υποδομές."

Ιστορικό: από τους CyberAv3ngers του 2023 στη σημερινή εκστρατεία

Το advisory συνδέει την τρέχουσα δραστηριότητα με ένα μοτίβο ιρανικής κρατικής στόχευσης αμερικανικών βιομηχανικών συστημάτων. Οι αρχές έχουν αναφέρει παρόμοια δραστηριότητα από τους CyberAv3ngers, θυγατρική ομάδα του IRGC Cyber Electronic Command, οι οποίοι είχαν παραβιάσει τουλάχιστον 75 Unitronics PLC συσκευές σε εγκαταστάσεις ύδρευσης και αποχέτευσης τον Νοέμβριο 2023. Η τρέχουσα δραστηριότητα αποδίδεται σε ξεχωριστή, αν και συγγενή, ομάδα ιρανικών APT actors. Η σημερινή εκστρατεία στοχεύει διαφορετικό κατασκευαστή και χρησιμοποιεί νόμιμο λογισμικό για την εγκαθίδρυση συνδέσεων, αποτελώντας τεχνικά πιο εξελιγμένη προσέγγιση.

Τον Οκτώβριο 2024, η OpenAI είχε αποκαλύψει ότι οι CyberAv3ngers χρησιμοποίησαν το ChatGPT για τον σχεδιασμό ICS επιθέσεων. Λογαριασμοί που συνδέονταν με την ομάδα χρησιμοποίησαν το εργαλείο για reconnaissance, αλλά και για βοήθεια σε exploitation vulnerabilities, αποφυγή ανίχνευσης και post-compromise δραστηριότητες.

Συστάσεις και δομικά προβλήματα

Οι αρχές συστήνουν αποσύνδεση των PLCs από το internet ή προστασία τους με firewall, παρακολούθηση των OT ports για ύποπτη κίνηση, έλεγχο logs για indicators of compromise, ενεργοποίηση multi-factor authentication, ενημέρωση firmware, απενεργοποίηση αχρησιμοποίητων υπηρεσιών ή default keys και συνεχή παρακολούθηση της δικτυακής δραστηριότητας. Ωστόσο, αξίζει να σημειωθεί ότι περίπου το 60% του προσωπικού της CISA τέθηκε σε διαθεσιμότητα από τις 14 Φεβρουαρίου 2026, μειώνοντας τη λειτουργική ικανότητα της υπηρεσίας ακριβώς τη στιγμή που η ιρανική κυβερνοδραστηριότητα εντάθηκε. Σύμφωνα με τον Steve Povolny, VP of AI strategy and security research στην Exabeam, η εκστρατεία αντικατοπτρίζει "διαρθρωτικές αδυναμίες που υπάρχουν εδώ και χρόνια σε OT περιβάλλοντα," με PLCs και HMI stacks που συχνά εκτελούν παρωχημένο firmware επί χρόνια.

Πηγές

• Iran-linked hackers disrupt operations at US critical infrastructure sites – Ars Technica
• Iranian-Affiliated Cyber Actors Exploit Programmable Logic Controllers Across US Critical Infrastructure – CISA Advisory AA26-097A
• Iran-Linked Hackers Disrupt U.S. Critical Infrastructure by Targeting Internet-Exposed PLCs – The Hacker News
• Iran-linked hackers have disrupted multiple US industrial sites – CNN
• Iran-linked PLC attacks cause real-world disruption at critical US infra sites – CSO Online
• Iran-Linked Hackers Disrupt US Critical Infrastructure via PLC Attacks – SecurityWeek
• Iranian hackers launching disruptive attacks at U.S. energy, water targets, feds warn – CyberScoop