كشفت جهات أمنية أمريكية رفيعة المستوى، بما في ذلك مكتب التحقيقات الفيدرالي (FBI) ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) ووكالة الأمن القومي (NSA)، عن حملة تجسس سيبراني إلكتروني متقدمة تقف وراءها جهات فاعلة مرتبطة بإيران، تستهدف بشكل مباشر وحدات التحكم المنطقية القابلة للبرمجة (PLCs) من نوع Rockwell/Allen-Bradley، وهي مكونات حيوية في البنية التحتية الحساسة.
تشكل هذه الهجمات تهديداً خطيراً لأنظمة تكنولوجيا المعلومات التشغيلية (OT) في مختلف القطاعات، مما يستدعي تأهباً واستجابة فورية لضمان استمرارية العمليات الحيوية.
تم تحديد هذه التهديدات في إعلان مشترك صدر مؤخراً، مما يبرز الطبيعة المستمرة لهذه الحملة وتأثيرها المحتمل على الأمن القومي.
الهجمات الإيرانية تستهدف وحدات التحكم المنطقية Rockwell/Allen-Bradley
وفقاً للإعلان المشترك الصادر عن الوكالات الأمنية الأمريكية، فإن المهاجمين المرتبطين بالحرس الثوري الإيراني، والمعروفين بأسماء متعددة مثل CyberAv3ngers، يعدون وراء هذه الحملة. بدأت هذه الأنشطة في استهداف وحدات PLC منذ أواخر عام 2023، حيث تم رصد اختراق ما لا يقل عن 75 وحدة من نوع Unitronics في منشآت معالجة المياه والصرف الصحي الأمريكية.
تشير التقديرات إلى أن الاستهداف الحالي لوحدات Rockwell/Allen-Bradley، والذي نشط منذ مارس 2026، يمثل تصعيداً ملحوظاً في نطاق وأساليب الهجوم.
وفي هذا السياق، كشف باحثو Censys عن وجود 5,219 جهاز PLC مكشوف للإنترنت عالمياً، منها 3,891 جهاز في الولايات المتحدة وحدها، مما يشكل سطح هجوم واسع لهذه الجهات.
أدوات الهجوم المعتمدة
الملفت للنظر في هذه الحملة هو اعتماد المهاجمين على أدوات برمجية شرعية لشركة Rockwell، مثل Studio 5000 Logix Designer، للوصول إلى وحدات PLC المكشوفة عبر الإنترنت. يتيح لهم هذا الأسلوب قراءة وتعديل ملفات المشاريع والتحكم في واجهات المشغل (HMI) وشاشات العرض (SCADA).
وقد تم تأكيد استهداف عائلات منتجات مثل CompactLogix و Micro850، مع وجود مؤشرات على استكشاف بروتوكولات أخرى كـ Modbus و S7، مما يوحي بإمكانية توسيع نطاق الاستهداف ليشمل منصات أخرى.
البنية التحتية للاتصال والمخاطر
تُظهر التحقيقات أن نسبة كبيرة من الأجهزة المكشوفة، تقارب 49.1% من الإجمالي العالمي، تتصل عبر أجهزة مودم خلوية تابعة لشبكات اتصالات تجارية. وهذا يشمل شبكات مثل Verizon Business و AT&T Mobility.
غالباً ما تكون هذه الأجهزة موجودة في محطات ضخ، ومحطات كهرباء فرعية، ومنشآت بلدية، وتعتمد على اتصالات خلوية بدلاً من روابط شبكة آمنة، مما يزيد من عرضتها للخطر.
توسيع سطح الهجوم: خدمات مشتركة ومؤشرات الاختراق
بالإضافة إلى بروتوكول EtherNet/IP (EIP)، كشفت Censys عن وجود خدمات مشتركة أخرى على 5,219 جهاز PLC، مما يوسع نطاق الهجوم المحتمل. لوحظ وجود خدمات VNC على 771 جهاز، مما يمنح المهاجمين وصولاً مباشراً عبر سطح المكتب عن بعد لأجهزة HMI.
كما ظهرت خدمات Telnet على 280 جهاز و Modbus على 292 جهاز، مما يفتح نقاط دخول إضافية وغير مؤمنة تتوافق مع سلوكيات الهجوم الموصوفة.
مراقبة وتأمين أنظمة PLC
أوصت الوكالات الأمنية بضرورة إبعاد أجهزة PLC هذه عن التعرض المباشر للإنترنت بشكل فوري. بالنسبة لأجهزة CompactLogix و MicroLogix، يعد وضع مفتاح الوضع المادي (physical mode switch) في وضع التشغيل RUN هو الإجراء الأكثر فعالية والذي لا يمكن تجاوزه عن بعد.
يجب على مسؤولي الأنظمة تعطيل خدمات VNC و Telnet و FTP على الأجهزة المتصلة مباشرة بوحدات PLC، وتطبيق المصادقة متعددة العوامل لجميع عمليات الوصول عن بعد لأنظمة OT، ومراجعة نشرات MicroLogix 1400 التي تعمل بإصدارات البرامج الثابتة التي توشك على انتهاء صلاحيتها.