Iran, Hacker

Les attaques du PLC liées à l’Iran provoquent des perturbations réelles sur des sites infra critiques américains

Lucas Morel

Des perturbations opérationnelles et des pertes financières ont déjà été signalées, et six agences fédérales affirment que la campagne se poursuit.

Alors que les États-Unis et l’Iran ont convenu d’un cessez-le-feu mardi, six agences fédérales américaines ont averti que des acteurs menaçants affiliés à l’Iran avaient compromis des contrôleurs logiques programmables exposés sur Internet dans des infrastructures critiques aux États-Unis.

Les attaques, que les agences ont liées à l’escalade des hostilités entre l’Iran, les États-Unis et Israël, ont visé les PLC de Rockwell Automation et d’Allen-Bradley dans les secteurs de l’eau et des eaux usées, de l’énergie et des installations gouvernementales, y compris les municipalités locales, et sont actives depuis au moins mars 2026, selon l’avis co-écrit par le FBI, la CISA, la NSA, l’EPA, le ministère de l’Énergie et la Cyber ​​National Mission Force du US Cyber ​​Command, et publié mardi.

« Depuis au moins mars 2026, les agences auteurs ont identifié (grâce à des contacts avec des organisations victimes) un groupe APT affilié à l’Iran qui a perturbé le fonctionnement des PLC », indique l’avis. « Ces automates ont été déployés dans plusieurs secteurs d’infrastructures critiques aux États-Unis (y compris les services et installations gouvernementaux, le WWS et les secteurs de l’énergie) dans une grande variété de processus d’automatisation industrielle. Certaines des victimes ont subi des perturbations opérationnelles et des pertes financières. »

Comment les attaquants ont obtenu l’accès

Pour effectuer ces manipulations, les acteurs ont utilisé une infrastructure louée à l’étranger et un logiciel de configuration légitime de Rockwell Automation pour se connecter aux automates victimes, en particulier aux appareils CompactLogix et Micro850 qui ont été laissés directement exposés à l’Internet public, indique l’avis.

Une fois à l’intérieur, ils ont extrait les fichiers du projet, modifié les données d’affichage SCADA et HMI et installé un logiciel d’accès à distance pour maintenir une présence persistante, ajoute-t-il.

L’avis prévient également que l’activité portuaire associée aux protocoles Siemens S7 PLC « suggère que ces acteurs pourraient également cibler des appareils fabriqués par des sociétés autres que Rockwell Automation/Allen-Bradley ».

Steve Povolny, vice-président de la stratégie d’IA et de la recherche sur la sécurité chez Exabeam, a déclaré que la campagne reflète les faiblesses structurelles de longue date des environnements OT. « Les contrôleurs logiques programmables et les piles IHM de support sont souvent déployés sur du matériel vieillissant, exécutent des micrologiciels obsolètes pendant des années et s’intègrent dans des réseaux opérationnels qui n’ont jamais été conçus dans un souci de persistance contradictoire », a-t-il déclaré.

Gabrielle Hempel, stratège des opérations de sécurité chez Exabeam, a déclaré que les attaques ont révélé un problème de conception fondamental. « Ce qui est le plus préoccupant dans ce rapport, c’est que les acteurs iraniens n’utilisent pas de logiciels malveillants sophistiqués ou de nouveaux Zero Days, mais exploitent des automates accessibles et des solutions simples pour manipuler les systèmes et provoquer des perturbations », a-t-elle déclaré. « Si un environnement OT est accessible depuis Internet, il s’agit d’un défaut de conception inhérent et non d’un problème d’État-nation. »

Un modèle iranien récurrent

L’avis relie la campagne actuelle à un schéma de ciblage par l’État iranien des systèmes de contrôle industriel américains. Les agences auteurs ont déjà signalé une activité similaire de la part de CyberAv3ngers, affilié au commandement cyber-électronique du Corps des Gardiens de la révolution islamique d’Iran, qui a compromis au moins 75 appareils Unitronics PLC dans les secteurs de l’eau, des eaux usées et d’autres infrastructures critiques à partir de novembre 2023.

L’activité actuelle est attribuée à un groupe distinct, bien que lié, d’acteurs de l’APT affiliés à l’Iran, indique l’avis.

Les agences auteurs ont estimé que le groupe « mène cette activité pour provoquer des effets perturbateurs aux États-Unis ». L’avis indique que l’escalade est probablement liée aux hostilités en cours entre les États-Unis, l’Iran et Israël.

Ross Filipek, RSSI chez Corsica Technologies, a déclaré que les conséquences de compromissions, même partielles, s’étendent bien au-delà des organisations individuelles victimes. « Si un service public municipal tombe en panne, les fournisseurs, les hôpitaux et les partenaires régionaux le ressentent », a-t-il déclaré. « Chaque campagne réussie, ou même partiellement réussie, abaisse les barrières pour la suivante et encourage les acteurs à passer d’une simple dégradation à une véritable interférence opérationnelle. »

L’avis répertorie huit adresses IP liées aux acteurs de la menace, actives depuis janvier 2025, ainsi que des indicateurs de compromission téléchargeables, et recommande aux organisations d’interroger leurs journaux pour toute activité correspondante, en particulier le trafic sur les ports associés à OT provenant de fournisseurs d’hébergement étrangers.

« Assurez-vous que tous les accès sont négociés, surveillés et contrôlés », indique l’avis. Pour les contrôleurs Rockwell Automation dotés d’un commutateur de mode physique, il est recommandé de placer le commutateur en position d’exécution pour bloquer la modification à distance.

L’avis impute également la responsabilité aux fabricants d’appareils, déclarant : « Il est en fin de compte de la responsabilité du fabricant d’appareils de créer des produits sécurisés par conception et par défaut. » Hempel a déclaré que le principe doit devenir une base de référence appliquée. « La sécurité dès la conception doit être appliquée comme une attente de base à tous les niveaux », a-t-elle déclaré.

Povolny a déclaré que les organisations devraient traiter l’avis comme un avertissement actif et non comme une notification de routine. « Les adversaires signalent leurs intentions, leurs capacités et leurs schémas d’accès, et les défenseurs devraient réagir en partant du principe que des activités d’enquête sont déjà en cours », a-t-il déclaré.

CyberattaquesCybercriminalitéSécurité

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Malware
Plus de fausses extensions liées à GlassWorm trouvées sur le marché du code Open VSX
Business Conference Presentation: Visionary Startup CEO Presents New Product, Does Motivational Talk Science, Lecture, Technology, Entrepreneurship, Development, Leadership. Background with Code.
Ce que les RSSI doivent faire à l’heure où l’identité entre dans l’ère agentique
Poznan, Poland – April 14, 2025: Close-up of Cursor app icon on the macOS dock, showcasing a modern code editor enhanced with AI features for developers
Un bug critique du curseur pourrait transformer la routine Git en RCE