CISA-Warnung: Iranisch unterstützte Akteure zielen auf US-Infrastruktur-Steuerungen ab
US-Behörden warnen vor iranisch unterstützten Akteuren, die gezielt programmierbare Logiksteuerungen (SPS) in der kritischen US-Infrastruktur angreifen und damit Betriebsstörungen verursachen.
US-amerikanische Behörden, darunter FBI, CISA und NSA, haben am 7. April 2026 eine gemeinsame Warnung herausgegeben, die eine anhaltende Kampagne von iranisch unterstützten, fortgeschrittenen Bedrohungsakteuren (APT) beschreibt. Diese zielen auf internetexponierte programmierbare Logiksteuerungen (SPS) ab, hauptsächlich Rockwell Automation-Geräte, aber scheinbar auch Siemens- und Modbus-kompatible Systeme, die Sektoren wie Regierungsdienste, Wasser- und Abwassersysteme sowie Energie betreffen.
Picus Security, ein Cybersicherheitsunternehmen, analysierte die Taktiken, Techniken und Prozeduren (TTPs) dieser Kampagne. Die seit mindestens März 2026 bestätigte Aktivität umfasst die Manipulation von SPS-Projektdateien, die Veränderung von Mensch-Maschine-Schnittstellen (HMI) und SCADA-Anzeigen, was in einigen Fällen zu Betriebsstörungen und finanziellen Verlusten geführt hat. Als Motivation wird eine geopolitische Vergeltung im Zusammenhang mit den Spannungen zwischen den USA und dem Iran vermutet.
Diese Kampagne stellt eine Eskalation gegenüber früheren Operationen dar, insbesondere der CyberAv3ngers-Kampagne vom November 2023. Während der frühere Angriff Standardpasswörter gegen Unitronics-SPS nutzte, setzen die aktuellen Akteure legitime Engineering-Software wie Rockwells Studio 5000 Logix Designer ein, um Zugang zu erhalten. Dieser raffinierte Ansatz erschwert die Unterscheidung von bösartigen Aktivitäten und autorisierten administrativen Handlungen. Die Akteure setzen zudem Dropbear SSH für persistenten Fernzugriff ein.
Zusätzlich verschärft die jüngste Aufnahme einer Schwachstelle (CVE-2021-22681) in Rockwells Studio 5000 Logix Designer und SPS in das "Known Exploited Vulnerabilities"-Verzeichnis der CISA im März 2026 die Bedenken. Dies bestätigt, dass Rockwell-Steuerungen aktiv ausgenutzt werden. Picus Security bietet seine Plattform an, um Organisationen bei der Simulation neuer Bedrohungen und der Validierung ihrer Abwehrmaßnahmen gegen solche ausgeklügelten Angriffe zu unterstützen.