De Amerikaanse overheid waarschuwde deze week dat hackers met banden naar Iran zich hebben gericht op organisaties binnen kritieke infrastructuur door industriële besturingssystemen (ICS) en andere operationele technologie (OT) aan te vallen. Volgens een advisory van CISA, FBI en andere instanties zijn programmeerbare logische controllers (PLC's) van Rockwell Automation specifiek aangevallen, maar ook apparaten van andere leveranciers lopen risico. Zowel Rockwell als Siemens hebben beveiligingsadviezen gepubliceerd om klanten te waarschuwen. De aanvallen leidden tot operationele verstoringen en financiële schade door manipulatie van kwetsbare human-machine interfaces (HMI) en SCADA-systemen.

De dreigingsactoren richtten zich op PLC's die via internet toegankelijk zijn en misbruikten legitieme programmeersoftware, zoals Rockwell’s Studio 5000 Logix Designer, om hun doelen te bereiken. Getroffen sectoren zijn onder meer overheidsdiensten, waterbeheer en energievoorziening. Experts uit de industrie reageerden op de advisories en gaven aanbevelingen voor verdedigers. Markus Mueller, Field CISO bij Nozomi Networks, stelt dat het niet verrassend is dat door staten gesteunde groepen zich richten op publiek toegankelijke OT-apparaten, vooral bij verhoogde geopolitieke spanningen. Hij verwijst naar eerdere campagnes, zoals die van CyberAv3ngers in 2023-24, en benadrukt dat veel apparaten nog steeds online staan, vaak omdat organisaties zich niet bewust zijn van de connectie of het risico onderschatten. Dit creëert een groot aanvalsoppervlak dat door gemotiveerde aanvallers kan worden geëxploiteerd.

Mueller merkt verder op dat hoewel er honderden claims zijn van compromittering van OT-apparaten wereldwijd, er weinig publieke bevestigingen zijn van daadwerkelijke incidenten. Dit kan komen doordat aanvallen zich vooral richten op regio’s met kinetische conflicten, het type aanvallen vaak DDoS en datalekken betreft, of omdat organisaties dergelijke incidenten niet openbaar maken. Ook kan het zijn dat aanvallers zich nog in de verkennings- en initiële toegangsfase bevinden. Naarmate het conflict voortduurt, wordt een toename van aanvallen op OT-apparaten verwacht, ook na een mogelijke beëindiging van de vijandelijkheden, waarbij cyberactiviteiten onderdeel blijven van hybride oorlogsvoering.

Denis Calderone, CTO van Suzu Labs, benadrukt dat de aanvallen zeer gericht zijn en gebruikmaken van Studio 5000 Logix Designer om direct op het bestandniveau te opereren bij CompactLogix en Micro850 controllers. Hierbij wordt de programmatische logica die fysieke processen aanstuurt geëxtraheerd en worden gegevens op HMI- en SCADA-schermen gemanipuleerd. Dit kan leiden tot verkeerde operationele beslissingen, bijvoorbeeld bij waterzuivering of energieproductie, doordat de weergegeven waarden niet overeenkomen met de werkelijkheid.