Des groupes iraniens lancent une campagne coordonnée contre les PLC de Rockwell
Des acteurs de la menace liés à l'Iran ont lancé une campagne sophistiquée ciblant des milliers de contrôleurs logiques programmables exposés à Internet, fabriqués par Rockwell Automation, à travers les réseaux d'infrastructures critiques des États-Unis. Les attaques, découvertes début avril 2026, représentent une escalade significative dans le ciblage par des États-nations des systèmes de contrôle industriels qui gèrent la production d'énergie, le traitement de l'eau et les installations de fabrication.
La campagne se concentre spécifiquement sur les familles de PLC ControlLogix et CompactLogix de Rockwell Automation, largement déployées dans les secteurs d'infrastructure critique des États-Unis. Ces contrôleurs gèrent des fonctions essentielles, y compris la distribution d'énergie, le traitement chimique et les opérations de traitement de l'eau. Les chercheurs en sécurité ont identifié les acteurs de la menace sondant les vulnérabilités dans les logiciels d'interface homme-machine (HMI) et exploitant les identifiants d'authentification par défaut qui restent inchangés depuis les paramètres d'usine.
Les attaquants exploitent plusieurs vecteurs d'attaque, y compris l'exploitation de protocoles hérités comme Ethernet/IP et Common Industrial Protocol (CIP) qui manquent de chiffrement intégré. Les agences de renseignement rapportent que les groupes de menace mènent des activités de reconnaissance pour cartographier les topologies de réseau et identifier les cibles de grande valeur au sein des installations de production d'énergie et des usines de traitement de l'eau. La campagne semble coordonnée avec les opérations cybernétiques iraniennes précédentes contre l'infrastructure américaine, suggérant un soutien parrainé par l'État.
Les agences de cybersécurité ont observé les attaquants tentant d'obtenir un accès persistant aux réseaux de technologie opérationnelle en compromettant les stations de travail d'ingénierie qui se connectent à la fois aux réseaux informatiques d'entreprise et aux systèmes de contrôle industriels. Cette technique permet un mouvement latéral des réseaux d'entreprise moins sécurisés vers des environnements opérationnels critiques. Le catalogue des vulnérabilités exploitées connues de la CISA a été mis à jour pour refléter les nouveaux schémas d'attaque observés dans cette campagne.
Le timing de ces attaques coïncide avec des tensions géopolitiques accrues et suit un schéma d'opérations cybernétiques iraniennes ciblant l'infrastructure critique américaine pendant les périodes de tension diplomatique. Les campagnes iraniennes précédentes ont ciblé des systèmes de contrôle industriels similaires, mais l'opération actuelle montre une sophistication accrue dans le ciblage de modèles spécifiques de PLC et l'exploitation des faiblesses des protocoles industriels.
Les secteurs d'infrastructure critique font face à une exposition généralisée
La campagne d'attaque affecte des milliers de PLC de Rockwell Automation déployés dans plusieurs secteurs d'infrastructure critique aux États-Unis. Les cibles principales incluent les installations de production d'énergie électrique, les usines de traitement des eaux et des eaux usées, les installations de fabrication chimique et les opérations de pipelines de pétrole et de gaz. Les analyses de sécurité révèlent environ 15 000 PLC de Rockwell avec une exposition directe à Internet, les rendant accessibles aux attaquants distants sans nécessiter de compromission initiale du réseau.
Sont particulièrement vulnérables les installations utilisant les contrôleurs des séries ControlLogix 5580, 5570 et 5560, ainsi que les modèles CompactLogix 5380 et 5370 qui conservent les configurations d'usine par défaut. Ces systèmes sont particulièrement à risque lorsqu'ils sont connectés aux réseaux d'entreprise ou lorsque les capacités d'accès à distance sont activées à des fins de maintenance. De nombreuses organisations affectées opèrent dans le secteur de l'énergie, y compris les coopératives électriques régionales et les services publics municipaux qui dépendent fortement des systèmes d'automatisation Rockwell pour la gestion du réseau.
La menace s'étend au-delà du ciblage direct des PLC pour inclure les stations de travail d'ingénierie exécutant les logiciels RSLogix 5000 et Studio 5000 utilisés pour programmer et surveiller ces contrôleurs. Les stations d'ingénierie compromises fournissent aux attaquants des identifiants légitimes et des capacités de programmation pour modifier la logique de contrôle ou perturber les opérations. Les installations de traitement de l'eau représentent une cible particulièrement préoccupante, car la manipulation des PLC pourrait affecter les systèmes de dosage chimique ou les processus de filtration qui garantissent une eau potable sûre.
Les services publics de petite et moyenne taille font face au risque le plus élevé en raison de ressources limitées en cybersécurité et de la dépendance aux systèmes de surveillance à distance qui augmentent l'exposition à Internet. Ces organisations manquent souvent d'équipes de sécurité dédiées à la technologie opérationnelle et peuvent ne pas avoir mis en œuvre de segmentation réseau entre les systèmes informatiques d'entreprise et les systèmes de contrôle industriels. Le Microsoft Security Response Center a publié des conseils pour les organisations utilisant des systèmes HMI basés sur Windows qui interagissent avec ces PLC.
Réponse immédiate et stratégies d'atténuation pour la sécurité des PLC de Rockwell
Les organisations exploitant des PLC de Rockwell Automation doivent mettre en œuvre des mesures de sécurité immédiates pour se protéger contre les opérations cybernétiques iraniennes en cours. La première étape critique consiste à effectuer des analyses réseau complètes pour identifier tous les PLC exposés à Internet et supprimer les connexions externes inutiles. Les administrateurs réseau doivent mettre en œuvre des règles de pare-feu bloquant l'accès direct à Internet aux ports de communication des PLC, en particulier le port TCP 44818 utilisé par le protocole Ethernet/IP et le port UDP 2222 pour la messagerie implicite EtherNet/IP.
Le renforcement de l'authentification représente l'atténuation immédiate la plus critique. Tous les mots de passe par défaut doivent être changés sur les PLC, les systèmes HMI et les stations de travail d'ingénierie. Rockwell recommande de mettre en œuvre un contrôle d'accès basé sur les rôles en utilisant le logiciel FactoryTalk Security pour gérer les permissions des utilisateurs et appliquer des exigences d'authentification fortes. Les organisations devraient désactiver les protocoles de communication et services inutilisés sur les PLC, en particulier les protocoles hérités qui manquent de capacités de chiffrement.
La segmentation du réseau fournit une protection essentielle en isolant les réseaux de technologie opérationnelle des systèmes informatiques d'entreprise et d'Internet. Mettre en œuvre des pare-feu industriels ou des diodes de données pour contrôler la communication entre les zones de réseau, en n'autorisant que le trafic nécessaire pour les opérations légitimes. Les réseaux privés virtuels devraient remplacer les connexions Internet directes pour la maintenance à distance, avec une authentification multi-facteurs requise pour toutes les sessions d'accès à distance.
Les capacités de surveillance et de détection doivent être améliorées pour identifier les activités suspectes des PLC. Déployer des outils de surveillance de réseau industriel capables d'analyser le trafic des protocoles Ethernet/IP et CIP pour des commandes anormales ou des modifications de configuration non autorisées. Enregistrer toutes les activités de programmation des PLC et mettre en œuvre des alertes pour les modifications inattendues de la logique de contrôle ou les tentatives d'accès non autorisées. La sauvegarde régulière des programmes et configurations des PLC permet une récupération rapide en cas de compromission potentielle.
Les organisations devraient établir des procédures de réponse aux incidents spécifiques aux compromissions des systèmes de contrôle industriels, y compris la coordination avec la CISA et les agences sectorielles pertinentes. Conduire des exercices de simulation de compromis de PLC pour tester les capacités de réponse et les procédures de communication. Mettre en œuvre des processus de gestion des changements nécessitant une approbation et une documentation pour toutes les modifications de programmation des PLC, avec une séparation des tâches entre le personnel opérationnel et de sécurité.
