与伊朗有关的黑客组织针对Rockwell/Allen-Bradley公司的可编程控制器发动攻击
2026年4月7日,美国联邦调查局、CISA、NSA、EPA、DOE和美国网络司令部联合披露了 与伊朗有关的黑客组织 正在进行的对面向互联网的罗克韦尔自动化/Allen-Bradley可编程逻辑控制器(PLC)的开发。
前言
全球5219台响应以太网/IP (EIP)并自我识别为Rockwell Automation/Allen-Bradley设备(与AA26-097A直接相关的攻击面)的互联网暴露主机。
美国占全球暴露量的74.6%(3,891台主机),在蜂窝运营商ASN上的份额不成比例,表示蜂窝调制解调器上的现场部署设备。
Censys对已公布的IOC列表的旋转显示,CISA的七个185.82.73.x指标代表运行完整Rockwell工具链的单个多宿主Windows工程工作站,同一主机上的四个额外运营商IP不在咨询范围内。
1.威胁环境
创作机构评估认为,一群与伊朗有关联的APT行为者——与IRGC网络电子司令部(CEC)有联系,以前被追踪为CyberAv3ngers (Shahid Kaveh Group)
自至少2026年3月以来一直在有针对性地利用面向互联网的罗克韦尔自动化/艾伦-布拉德利PLC。
这项活动是继2023年11月开始的一项类似活动之后进行的,该活动危及了美国供水和废水设施中至少75台Unitronics设备(CISA AA23-335A)。
当前的活动包括使用合法供应商软件(Rockwell Studio 5000 Logix Designer)直接访问互联网暴露的PLC,使参与者能够与项目文件进行交互并操纵HMI/SCADA显示数据,而无需零日开发。
确认的目标设备系列包括CompactLogix和Micro850。咨询说明中还提到了其他OT协议(Modbus/502、S7/102 ),表明了更广泛的多供应商目标意向。
2.地理暴露
Censys识别出全球范围内响应以太网/IP(端口44818)并自我识别为Rockwell Automation/Allen-Bradley设备的5219台暴露于互联网的主机。
地理分布严重偏向美国,占全球暴露量的74.6%,这与罗克韦尔在北美工业自动化领域的主导市场地位一致。
主要地理观察
西班牙(110)、台湾(78)和意大利(73)代表了最大的非英语圈集中地。冰岛的存在(36台主机)与其人口不成比例,鉴于其地热能源基础设施,值得关注。该咨询专门针对美国政府/设施、WWS和能源行业,所有这些行业都有强大的国内罗克韦尔足迹。
3.自主系统分析
暴露设备的ASN分布显示了对蜂窝运营商网络的惊人集中,仅威瑞森业务(CELLCO-PART)就占了2,564台主机(占全球总数的49.1%),美国电话电报公司移动公司另外增加了693台(13.3%)。
这种模式强烈表明,很大一部分接触互联网的PLC通过用于远程现场连接的蜂窝调制解调器连接到互联网,这种部署模式咨询明确标记为需要强化。
4.设备产品细分
以太网/IP身份响应暴露了设备级产品字符串,无需认证即可实现PLC型号和固件版本的精细指纹识别。
前15个产品系列由两个系列主导:MicroLogix 1400(目录前缀1766-)和CompactLogix (1769-,5069-),其中有一个Micro820 (2080-)条目。
全球5219台响应以太网/IP (EIP)并自我识别为Rockwell Automation/Allen-Bradley设备(与AA26-097A直接相关的攻击面)的互联网暴露主机。
美国占全球暴露量的74.6%(3,891台主机),在蜂窝运营商ASN上的份额不成比例,表示蜂窝调制解调器上的现场部署设备。
Censys对已公布的IOC列表的旋转显示,CISA的七个185.82.73.x指标代表运行完整Rockwell工具链的单个多宿主Windows工程工作站,同一主机上的四个额外运营商IP不在咨询范围内。
1.威胁环境
创作机构评估认为,一群与伊朗有关联的APT行为者——与IRGC网络电子司令部(CEC)有联系,以前被追踪为CyberAv3ngers (Shahid Kaveh Group)
自至少2026年3月以来一直在有针对性地利用面向互联网的罗克韦尔自动化/艾伦-布拉德利PLC。
这项活动是继2023年11月开始的一项类似活动之后进行的,该活动危及了美国供水和废水设施中至少75台Unitronics设备(CISA AA23-335A)。
当前的活动包括使用合法供应商软件(Rockwell Studio 5000 Logix Designer)直接访问互联网暴露的PLC,使参与者能够与项目文件进行交互并操纵HMI/SCADA显示数据,而无需零日开发。
确认的目标设备系列包括CompactLogix和Micro850。咨询说明中还提到了其他OT协议(Modbus/502、S7/102 ),表明了更广泛的多供应商目标意向。
2.地理暴露
Censys识别出全球范围内响应以太网/IP(端口44818)并自我识别为Rockwell Automation/Allen-Bradley设备的5219台暴露于互联网的主机。
地理分布严重偏向美国,占全球暴露量的74.6%,这与罗克韦尔在北美工业自动化领域的主导市场地位一致。
主要地理观察
西班牙(110)、台湾(78)和意大利(73)代表了最大的非英语圈集中地。冰岛的存在(36台主机)与其人口不成比例,鉴于其地热能源基础设施,值得关注。该咨询专门针对美国政府/设施、WWS和能源行业,所有这些行业都有强大的国内罗克韦尔足迹。
3.自主系统分析
暴露设备的ASN分布显示了对蜂窝运营商网络的惊人集中,仅威瑞森业务(CELLCO-PART)就占了2,564台主机(占全球总数的49.1%),美国电话电报公司移动公司另外增加了693台(13.3%)。
这种模式强烈表明,很大一部分接触互联网的PLC通过用于远程现场连接的蜂窝调制解调器连接到互联网,这种部署模式咨询明确标记为需要强化。
4.设备产品细分
以太网/IP身份响应暴露了设备级产品字符串,无需认证即可实现PLC型号和固件版本的精细指纹识别。
前15个产品系列由两个系列主导:MicroLogix 1400(目录前缀1766-)和CompactLogix (1769-,5069-),其中有一个Micro820 (2080-)条目。
关于作者
评论1次
这波操作挺有意思的,伊朗这帮人玩工控确实是老手法了。几个点想说: 1. **暴露面这么大不奇怪**。北美这边用蜂窝+PLC远程运维太常见了,运营商分配公网IP直接打,一打一个准。Verizon占一半这事说明工业现场为了省事,安全性基本靠"没人知道这个IP"撑着,属于掩耳盗铃。 2. **不用零day这事很关键**。Rockwell Studio 5000本来就是合法软件,认证机制形同虚设,能联网就能操作。这种攻击路径根本没法封堵,因为你不能把工控软件当恶意程序杀了。 3. **社工和运维失误才是主因**。CISA那个案例里75台Unitronics设备是怎么联网的?八成是现场工程师图方便顺手开了远程访问。这种场景下你装再多防火墙也没用,总有人会开一个"临时"端口然后忘记关。 4. **说白了就是资产梳理问题**。全球5000多台暴露的Rockwell设备,有多少是真正需要互联网访问的?如果必须连,有没有做最小化暴露+强认证+流量监控?大多数工控网络这块基本是空白。 **建议**:如果是自己有资产的,先把EIP端口(44818)能从互联网访问的摸个底,能内网转发就内网转发;必须远程的起码加上VPN或专线,别直接公网;固件版本低的趁早打补丁,MicroLogix 1400那堆老设备官方早就停止维护了。