08.04.2026
1 хв
166
Іранські хакерські групи, пов’язані з державою, розгорнули серію атак проти критичної інфраструктури США, використовуючи вразливі промислові системи управління. За даними американських спецслужб, атаки вже призвели до реальних збоїв у роботі енергетики, водопостачання та державних сервісів.
У США попередили про нову хвилю кібератак з боку іранських груп, які переключились на реальні системи керування інфраструктурою. Мова про обладнання, яке підключене до інтернету і безпосередньо відповідає за роботу води, електрики та інших критичних процесів.
«Ці атаки призвели до зниження функціональності ПЛК, маніпуляцій з даними дисплея, а в деяких випадках – до збоїв у роботі та фінансових втрат», – йдеться у повідомленні Федерального бюро розслідувань США (ФБР) на X.
В окремих випадках обладнання починало працювати нестабільно, на екранах з’являлись змінені дані, а іноді системи взагалі виходили з ладу. Це тягне за собою не тільки технічні проблеми, а й прямі фінансові втрати.
Активність напряму пов’язують із напруженою ситуацією між Іраном, США та Ізраїлем. Кібератаки тут виглядають як ще один інструмент тиску, тільки вже не через ракети, а через інфраструктуру.
Судячи з деталей, працюють вони доволі акуратно. Зловмисники втручаються у файли проєктів контролерів і змінюють те, що бачать оператори в інтерфейсах HMI та SCADA. Саме через це і виникають збої, які на перший погляд можуть виглядати як звичайна технічна помилка.
Під удар потрапили конкретні пристрої, зокрема контролери від Rockwell Automation та серії Allen-Bradley. Таке обладнання широко стоїть у комунальних службах, системах води та енергетиці, тому ефект від атак відчутний одразу.
Щоб підключитися до систем, атакуючі використовували орендовані сервери і спеціальне програмне забезпечення для конфігурації. Це дозволяло їм виглядати як легітимний користувач і встановлювати нормальне з’єднання з обладнанням.
Коли доступ уже був, вони закріплювались через простий, але ефективний інструмент – SSH-сервер Dropbear. Через нього відкривався віддалений доступ до пристроїв, можна було витягувати конфігурації і змінювати дані прямо в робочих системах.
Фахівці радять не ускладнювати і почати з базових речей:
не тримати такі пристрої відкритими в інтернет
обмежити можливість змінювати їх віддалено
увімкнути багатофакторний захист
поставити фаєрвол або проксі перед обладнанням
регулярно оновлювати системи
дивитися на підозрілий трафік
Подібні історії вже були. Наприкінці 2023 року через PLC атакували систему водопостачання в Пенсильванії. Тоді постраждали десятки пристроїв, і це був чіткий сигнал, що напрямок для атак обрано.
Експерти кажуть, що нічого принципово нового тут немає, але масштаби ростуть. Ті ж самі сценарії вже недавно бачили і в атаках на ізраїльські системи.
Паралельно вимальовується ще одна цікава картина. Формально діє кілька різних груп, але виглядає так, ніби це частини однієї системи. Вони працюють під різними назвами, але використовують спільну інфраструктуру і підходи.
Окрема роль у цьому всьому відводиться Telegram і відкритим ресурсам. Там іде розповсюдження інформації, координація і навіть частина управління шкідливими інструментами.
Ще один момент, який насторожує – змішування державних і кримінальних інструментів. Наприклад, група MuddyWater використовує рішення на кшталт CastleRAT і ChainShell, де частина логіки управління взагалі прив’язана до блокчейну.
У підсумку виходить доволі неприємна тенденція. Державні атаки стають гнучкішими і використовують усе, що працює. А для захисту це означає одне – розуміти такі атаки стає складніше, а реагувати доводиться швидше.
