Le **Federal Bureau of Investigation (FBI)**, la **Cybersecurity and Infrastructure Security Agency (CISA)**, la **National Security Agency (NSA)**, l'**Environmental Protection Agency (EPA)**, le **Department of Energy (DOE)** et le **United States Cyber Command – Cyber National Mission Force (CNMF)** émettent conjointement un avertissement urgent concernant l'exploitation d'équipements de technologie opérationnelle (OT) connectés à Internet, spécifiquement les automates programmables industriels (PLC) **Rockwell Automation/Allen-Bradley**, dans les secteurs des infrastructures critiques américaines. Cette activité a entraîné des perturbations par des interactions malveillantes avec des fichiers de projet et la manipulation de données sur les interfaces homme-machine (IHM) et les écrans de supervision (SCADA). Dans certains cas, cela a conduit à des perturbations opérationnelles et à des pertes financières. ### Secteurs ciblés et acteur de la menace Les agences émettrices estiment que des acteurs APT affiliés à l'Iran sont à l'origine de ces attaques, dans le but de provoquer des effets perturbateurs aux États-Unis. Les secteurs ciblés comprennent : * Services et installations gouvernementaux * Systèmes d'eau et d'eaux usées (WWS) * Énergie Auparavant, une activité similaire ciblant les PLC avait été attribuée à **CyberAv3ngers** (alias Shahid Kaveh Group), un acteur de menace cybernétique affilié au Cyber Electronic Command (CEC) des Gardiens de la révolution islamique (IRGC) en Iran. ### Actions recommandées Les organisations américaines sont invitées à examiner les tactiques, techniques et procédures (TTP) ainsi que les indicateurs de compromission (IOC) fournis dans l'avis. Les actions clés comprennent : * Retirer les PLC de l'exposition directe à Internet via une passerelle sécurisée et un pare-feu. * Interroger les journaux disponibles pour les IOC fournis. * Vérifier les journaux pour détecter un trafic suspect sur les ports des appareils OT (par exemple, `44818`, `2222`, `102` et `502`), en particulier provenant de fournisseurs d'hébergement à l'étranger. * Pour les appareils Rockwell Automation, placer le commutateur de mode physique du contrôleur en position de marche. ### Indicateurs de compromission Les IOC sont disponibles en téléchargement : * [AA26-097A STIX XML](https://www.cisa.gov/sites/default/files/2026-04/AA26-097A.stix_.xml) (35 Ko) * [AA26-097A STIX JSON](https://www.cisa.gov/sites/default/files/2026-04/AA26-097A.stix_.json) (12 Ko) ### Guide de Rockwell Automation Les organisations utilisant des PLC Rockwell Automation/Allen-Bradley doivent consulter le guide suivant : * [PN1550 | CVE-2021-22681: Vulnérabilité de contournement d'authentification trouvée dans les contrôleurs Logix](https://www.rockwellautomation.com/en-fi/trust-center/security-advisories/advisory.PN1550.html) (publié en 2021) * [SD1771 | Rockwell Automation réitère ses conseils aux clients pour déconnecter les appareils d'Internet et renforcer les PLC afin de les protéger contre les cybermenaces](https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1771.html) (publié en 2026) Contactez l'équipe de réponse aux incidents de sécurité des produits (PSIRT) de Rockwell Automation à l'adresse [[email protected]](mailto:[email protected]) pour toute question ou pour signaler des incidents. ### Contexte historique Des campagnes similaires ont été observées depuis novembre 2023, avec **CyberAv3ngers**, affilié au CEC de l'IRGC, ciblant des PLC et des IHM basés aux États-Unis, provoquant des effets perturbateurs. Ces attaques ont compromis au moins 75 appareils, ciblant des appareils PLC Unitronics basés aux États-Unis avec une IHM utilisée dans plusieurs secteurs d'infrastructures critiques, y compris les WWS. Ce groupe est également connu sous les noms de Hydro Kitten, Storm-0784, APT Iran, Bauxite, Mr. Soul, Soldiers of Solomon, UNC5691 et le Shahid Kaveh Group.