Das **Federal Bureau of Investigation (FBI)**, die **Cybersecurity and Infrastructure Security Agency (CISA)**, die **National Security Agency (NSA)**, die **Environmental Protection Agency (EPA)**, das **Department of Energy (DOE)** und das **United States Cyber Command – Cyber National Mission Force (CNMF)** geben gemeinsam eine dringende Warnung bezüglich der Ausnutzung von mit dem Internet verbundenen Operational Technology (OT)-Geräten, insbesondere von programmierbaren Logiksteuerungen (PLCs) von **Rockwell Automation/Allen-Bradley**, in kritischen Infrastruktursektoren der USA heraus. Diese Aktivität hat zu Störungen durch bösartige Interaktionen mit Projektdateien und Manipulation von Daten auf Human-Machine-Interface (HMI)- und Supervisory Control and Data Acquisition (SCADA)-Anzeigen geführt. In einigen Fällen führte dies zu operativen Störungen und finanziellen Verlusten. ### Zielsektoren und Bedrohungsakteure Die verfassenden Behörden schätzen, dass mit dem Iran verbundene APT-Akteure hinter diesen Angriffen stecken und darauf abzielen, störende Effekte innerhalb der Vereinigten Staaten zu verursachen. Die Zielsektoren umfassen: * Regierungsdienste und -einrichtungen * Wasser- und Abwassersysteme (WWS) * Energie Zuvor wurde ähnliche Aktivität, die auf PLCs abzielte, **CyberAv3ngers** (auch bekannt als Shahid Kaveh Group) zugeschrieben, einem Cyber-Bedrohungsakteur, der mit dem Cyber Electronic Command (CEC) der iranischen Revolutionsgarde (IRGC) verbunden ist. ### Empfohlene Maßnahmen US-Organisationen werden dringend aufgefordert, die im Advisory bereitgestellten Taktiken, Techniken und Prozeduren (TTPs) sowie Indikatoren für Kompromittierung (IOCs) zu überprüfen. Wichtige Maßnahmen umfassen: * Entfernen von PLCs aus der direkten Internetexposition über sichere Gateways und Firewalls. * Abfragen verfügbarer Protokolle nach bereitgestellten IOCs. * Überprüfung von Protokollen auf verdächtigen Datenverkehr an OT-Geräteports (z. B. `44818`, `2222`, `102` und `502`), insbesondere von ausländischen Hosting-Providern. * Bei Rockwell Automation-Geräten: Platzieren des physischen Modus-Schalters am Controller in der Run-Position. ### Indikatoren für Kompromittierung IOCs stehen zum Download bereit: * [AA26-097A STIX XML](https://www.cisa.gov/sites/default/files/2026-04/AA26-097A.stix_.xml) (35KB) * [AA26-097A STIX JSON](https://www.cisa.gov/sites/default/files/2026-04/AA26-097A.stix_.json) (12 KB) ### Rockwell Automation-Leitfaden Organisationen, die Rockwell Automation/Allen-Bradley PLCs verwenden, sollten die folgenden Leitfäden überprüfen: * [PN1550 | CVE-2021-22681: Authentication Bypass Vulnerability Found in Logix Controllers](https://www.rockwellautomation.com/en-fi/trust-center/security-advisories/advisory.PN1550.html) (veröffentlicht 2021) * [SD1771 | Rockwell Automation Reiterates Customer Guidance to Disconnect Devices from the Internet and Harden PLCs to Protect from Cyber Threats](https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1771.html) (veröffentlicht 2026) Kontaktieren Sie das Rockwell Automation Product Security Incident Response Team (PSIRT) unter [[email protected]](mailto:[email protected]) für Fragen oder zur Meldung von Vorfällen. ### Historischer Kontext Ähnliche Kampagnen wurden seit November 2023 beobachtet, wobei die mit der IRGC CEC verbundene Gruppe **CyberAv3ngers** auf US-basierte PLCs und HMIs abzielte und störende Effekte verursachte. Diese Angriffe kompromittierten mindestens 75 Geräte, zielten auf US-basierte Unitronics PLC-Geräte mit HMI, die in mehreren kritischen Infrastruktursektoren, einschließlich WWS, eingesetzt werden. Diese Gruppe ist auch bekannt als Hydro Kitten, Storm-0784, APT Iran, Bauxite, Mr. Soul, Soldiers of Solomon, UNC5691 und die Shahid Kaveh Group.