Mit dem Iran verbundene Hacker greifen aktiv Tausende von internetexponierten programmierbaren Logiksteuerungen (PLCs) von **Rockwell Automation** in Cyberangriffen auf kritische Infrastrukturnetzwerke der USA an. Laut einer gemeinsamen Warnung mehrerer US-Bundesbehörden zielen staatlich unterstützte iranische Hacking-Gruppen seit März 2026 auf **Rockwell Automation/Allen-Bradley** PLC-Geräte ab, was zu Betriebsunterbrechungen und finanziellen Verlusten führt. "Die iranisch-affinen APT-Zielkampagnen gegen US-Organisationen haben kürzlich zugenommen, wahrscheinlich als Reaktion auf die Feindseligkeiten zwischen dem Iran und den Vereinigten Staaten und Israel", warnten die verfassenden Behörden. Das **FBI** hat bestätigt, dass diese Aktivität zur Extraktion der Projektdatei des Geräts und zur Datenmanipulation auf HMI- und SCADA-Anzeigen führte. ### Exponierte PLCs: Ein erhebliches Risiko Das Cybersicherheitsunternehmen **Censys** berichtet, dass weltweit über 5.200 industrielle Steuerungssysteme online exponiert sind, wobei ein erheblicher Teil aus den Vereinigten Staaten stammt. "Censys-Daten identifizieren weltweit 5.219 internetexponierte Hosts, die auf EtherNet/IP (EIP) reagieren und sich selbst als **Rockwell Automation/Allen-Bradley**-Geräte identifizieren", erklärte Censys. "Die Vereinigten Staaten machen 74,6 % der globalen Exposition (3.891 Hosts) aus, mit einem unverhältnismäßig hohen Anteil an Mobilfunkanbieter-ASNs, was auf im Feld eingesetzte Geräte über Mobilfunkmodems hindeutet."  *Internetexponierte Rockwell/Allen Bradley PLCs (Censys)* ### Abhilfemaßnahmen Um sich gegen diese laufenden Angriffe zu verteidigen, wird Netzwerkverteidigern empfohlen: * PLCs mit einer Firewall sichern oder vom Internet trennen. * Logs auf Anzeichen bösartiger Aktivitäten scannen. * Auf verdächtigen Datenverkehr auf OT-Ports prüfen (insbesondere wenn er von ausländischen Hosting-Anbietern stammt). * Multifaktor-Authentifizierung (MFA) für den Zugriff auf OT-Netzwerke erzwingen. * Alle PLC-Geräte auf dem neuesten Stand halten. * Nicht verwendete Dienste und Authentifizierungsmethoden deaktivieren. ### Echos vergangener Angriffe Diese Kampagne folgt auf ähnliche Angriffe von vor fast drei Jahren, als eine mit dem iranischen Revolutionsgarden (IRGC) verbundene Bedrohungsgruppe, die als **CyberAv3ngers** verfolgt wird, Schwachstellen in US-basierten **Unitronics** Operational Technology (OT)-Systemen ausnutzte. **CyberAv3ngers** kompromittierte zwischen November 2023 und Januar 2024 mindestens 75 **Unitronics** PLC-Geräte, wobei die Hälfte davon kritische Infrastrukturnetzwerke für Wasser- und Abwassersysteme in den Vereinigten Staaten betraf. Kürzlich löschte die Hacktivistengruppe **Handala** (verbunden mit dem iranischen Ministerium für Nachrichtendienste und Sicherheit) etwa 80.000 Geräte aus dem Netzwerk des US-Medizintechnikriesen **Stryker**, darunter mobile Geräte von Mitarbeitern und unternehmensverwaltete PCs.