Kyberturvallisuus: Iranilaisryhmä hyökkää Yhdysvaltain kriittiseen infrastruktuuriin

Kyberturvallisuusyritys Picus Security on analysoinut hiljattain julkaistua varoitusta, joka koskee iranilaistaustaisten toimijoiden järjestelmällisiä hyökkäyksiä Yhdysvaltain kriittiseen infrastruktuuriin. Yhdysvaltain viranomaiset, mukaan lukien FBI, CISA ja NSA, varoittivat huhtikuussa 2026, että ryhmä hyökkää ohjelmoitaviin logiikkajärjestelmiin (PLC), erityisesti Rockwell Automationin laitteisiin, vesihuollon, jätevedenpuhdistuksen ja energiasektorin toimijoita vastaan.

Hyökkäykset, jotka on todettu aktiivisiksi maaliskuusta 2026 lähtien, kohdistuvat PLC-projektitiedostojen manipulointiin, ihmisen ja koneen välisen käyttöliittymän (HMI) sekä SCADA-järjestelmien näyttöjen muuttamiseen. Viranomaiset arvioivat, että hyökkäysten taustalla on poliittinen kosto Yhdysvaltain ja Iranin välisten jännitteiden vuoksi. Toiminta on merkittävä eskalaatio aiempiin hyökkäyksiin, kuten marraskuussa 2023 tapahtuneeseen CyberAv3ngers-operaatioon, joka kohdistui Unitronicsin PLC-laitteisiin oletussalasanomia käyttäen.

Picus Securityn analyysi korostaa muutosta tekniikoissa: nykyiset hyökkääjät käyttävät Rockwellin automaatio-ohjelmistoja, Studio 5000 Logix Designer, hyväksyttyjen yhteyksien luomiseen ilman, että niitä on helppo erottaa valtuutetusta toiminnasta. He myös asentavat takaovia, kuten Dropbear SSH, osoittaen pitkäaikaista sitoutumista järjestelmiin.

Lisäksi CISA lisäsi maaliskuussa 2026 Rockwellin Studio 5000 Logix Designer -ohjelmistoon liittyvän haavoittuvuuden (CVE-2021-22681) tunnistettujen ja hyödynnettyjen haavoittuvuuksien luetteloon. Tämä vahvistaa Rockwell-ohjaimien olevan aktiivisen hyökkääjätoiminnan kohteena. Varoitus viittaa tähän haavoittuvuuteen ja Rockwellin ohjeisiin tapauksen yhteydessä.

Picus Security tarjoaa työkaluja organisaatioille puolustustensa validoimiseksi ja uusien uhkien simuloimiseksi. Yrityksen alusta mahdollistaa uhkakylän simuloinnin ja puolustuskyvyn testaamisen reaaliaikaisesti.