Des acteurs de la menace iraniens lancent une campagne axée sur les PLC contre l'infrastructure américaine
Des hackers liés à l'Iran ont lancé une campagne sophistiquée le 7 avril 2026, ciblant spécifiquement les contrôleurs logiques programmables Rockwell Automation et Allen-Bradley exposés à Internet, déployés à travers les réseaux d'infrastructure critique des États-Unis. Les attaquants scannent systématiquement et exploitent les vulnérabilités de ces systèmes de contrôle industriel, qui gèrent des opérations critiques dans les installations énergétiques, de traitement de l'eau et de fabrication à l'échelle nationale.
La campagne représente une escalade significative des opérations cybernétiques iraniennes contre les cibles d'infrastructure américaines. Contrairement aux attaques précédentes qui se concentraient sur les systèmes informatiques traditionnels, ces acteurs de la menace ciblent délibérément les environnements de technologie opérationnelle où les PLC contrôlent des processus physiques, y compris la production d'énergie, la distribution d'eau et la fabrication industrielle. Les chercheurs en sécurité ont identifié des activités de reconnaissance coordonnées suggérant que les attaquants possèdent une connaissance détaillée des architectures PLC ControlLogix et CompactLogix de Rockwell.
Selon l'analyse de CyberScoop, les attaquants exploitent des vulnérabilités connues dans les anciennes versions de firmware des PLC pour établir un accès persistant aux réseaux SCADA. Les acteurs de la menace semblent mener une cartographie réseau étendue pour identifier les systèmes de contrôle critiques et comprendre les dépendances opérationnelles au sein des installations ciblées. Cette approche méthodique indique une opération bien financée avec des objectifs de renseignement spécifiques plutôt qu'une activité cybercriminelle opportuniste.
Le timing de cette campagne coïncide avec des tensions géopolitiques accrues et suit un schéma de groupes parrainés par l'État iranien ciblant l'infrastructure critique pendant les périodes de conflit international. Les agences de renseignement ont observé des tactiques similaires de la part de groupes de menaces persistantes avancées iraniens, y compris APT33, APT34 et APT35, bien que l'attribution à des groupes spécifiques reste en cours d'investigation. Les attaquants emploient des techniques d'évasion sophistiquées, y compris des canaux de commande chiffrés et des outils administratifs légitimes pour mélanger leurs activités avec le trafic réseau normal.
Les secteurs d'infrastructure critique font face à un risque généralisé d'exposition des PLC
La campagne affecte principalement les organisations exploitant les séries de PLC Rockwell Automation ControlLogix 5570, 5580 et CompactLogix 5370, 5380 avec des versions de firmware antérieures à 33.011 qui restent accessibles sur Internet. Les organisations du secteur de l'énergie font face au risque le plus élevé, en particulier les services publics d'électricité utilisant des systèmes SCADA vieillissants où les PLC contrôlent les équipements de production, les commutateurs de transmission et l'automatisation de la distribution. Les installations de traitement de l'eau utilisant ces contrôleurs pour le dosage chimique, le contrôle des pompes et les processus de filtration sont également vulnérables à des attaques potentielles de perturbation ou de contamination.
Les organisations manufacturières dans les industries automobile, chimique et de transformation alimentaire représentent une autre catégorie à haut risque, en particulier les installations où les PLC gèrent des processus critiques pour la sécurité, y compris les systèmes d'arrêt d'urgence, les contrôles de décharge de pression et la gestion des matériaux dangereux. Les attaquants ciblent spécifiquement les organisations qui ont migré des systèmes hérités vers des réseaux basés sur IP sans mettre en œuvre une segmentation réseau appropriée ou des protections de pare-feu industriel. Les installations avec des capacités d'accès à distance activées à des fins de maintenance font face à une exposition accrue, car ces connexions contournent souvent les contrôles de sécurité traditionnels.
L'analyse géographique révèle un ciblage concentré au Texas, en Californie et en Pennsylvanie, des États avec une infrastructure énergétique significative et des bases de fabrication industrielle. Les petites entreprises de services publics municipales et les systèmes d'eau ruraux semblent particulièrement vulnérables en raison de ressources limitées en cybersécurité et de la dépendance aux connexions de support à distance des fournisseurs. La portée de la campagne suggère que les attaquants ont compilé des listes de cibles complètes basées sur des bases de données d'infrastructure publique et des résultats de balayage Shodan identifiant les systèmes de contrôle industriel exposés.
Renforcement immédiat de la sécurité des PLC et isolation réseau requise
Les organisations doivent immédiatement auditer tous les déploiements de PLC Rockwell Automation et Allen-Bradley pour identifier les systèmes exposés à Internet et mettre en œuvre des mesures d'isolation réseau d'urgence. Les premières étapes critiques incluent la déconnexion des PLC de l'accès direct à Internet, la mise en œuvre d'architectures DMZ industrielles avec des pare-feu dédiés et l'établissement d'un accès à distance sécurisé via des concentrateurs VPN avec authentification multi-facteurs. Les administrateurs système doivent vérifier que tous les contrôleurs ControlLogix et CompactLogix exécutent la version de firmware 33.011 ou ultérieure, disponible via le Centre de compatibilité et de téléchargement de produits de Rockwell.
Les équipes de surveillance réseau doivent mettre en œuvre une journalisation améliorée pour toutes les communications PLC, en se concentrant sur les connexions HMI inhabituelles, les changements de configuration non autorisés et les demandes de données anormales provenant des postes de travail d'ingénierie. Déployer une segmentation réseau entre les environnements IT et OT en utilisant des pare-feu industriels configurés avec des listes d'autorisation strictes pour les protocoles requis, y compris EtherNet/IP, Modbus TCP et DNP3. Les organisations doivent également revoir et désactiver les services inutiles sur les PLC, y compris les serveurs web, FTP et les interfaces Telnet qui élargissent la surface d'attaque.
Pour une détection immédiate des menaces, les équipes de sécurité doivent surveiller les activités de reconnaissance, y compris les analyses de ports ciblant les ports TCP 44818 (EtherNet/IP), 502 (Modbus) et 20000 (DNP3). Mettre en œuvre une analyse comportementale pour identifier les téléchargements de logique ladder inhabituels, les modifications de firmware ou les changements de configuration en dehors des fenêtres de maintenance normales. L'Agence de cybersécurité et de sécurité des infrastructures recommande de déployer des systèmes de détection d'intrusion industriels capables d'analyser les protocoles industriels et de détecter les commandes PLC malveillantes. Les organisations doivent également établir des procédures de réponse aux incidents spécifiquement pour les environnements OT, y compris la coordination avec les équipes d'exploitation des installations et les exigences de rapport réglementaire pour les secteurs d'infrastructure critique.
