與伊朗有關聯的威脅行為者正積極攻擊暴露於網路的工業控制系統 (ICS)。 Censys 的最新研究強調，廣泛部署的羅克韋爾自動化Allen-Bradley PLC（可程式邏輯控制器）正被偵測和利用，這是針對關鍵基礎設施的更廣泛攻擊活動的一部分。

Censys詳細指出，此攻擊活動涉及使用合法廠商軟體（特別是Rockwell Studio 5000 Logix Designer）直接存取暴露在網路上的PLC，使攻擊者無需零日漏洞即可與專案檔案互動並操縱HMI和SCADA顯示資料。該活動凸顯了OT環境中「借力打力」攻擊技術的轉變，即利用系統自帶工具將惡意行為融入常規工程工作流程。已確認的目標包括廣泛部署的Allen-Bradley設備系列，例如CompactLogix和Micro850，這凸顯了這次攻擊活動的實用性。

研究還指出，攻擊者正在探測其他工業協議，包括端口 502 上的 Modbus 和端口 102 上的 Siemens S7，這表明其攻擊策略更為廣泛，涉及多個供應商，而不僅限於 Rockwell 系統。這種模式表明攻擊者正在對異質 OT 環境進行協同偵察，令人擔憂的是，跨行業的暴露工業資產可能被系統性地映射和存取，從而增加關鍵基礎設施網路中斷的風險。

分析強調，攻擊者利用合法的工程工具和系統原生功能來存取和操控PLC，而非依賴客製化惡意軟體，這使得他們的活動能夠融入正常的運作流程。這種「借力打力」的方式增加了檢測難度，同時使攻擊者能夠提取或篡改控制邏輯，加劇了人們對暴露的OT資產可能被悄無聲息地存取和破壞，而不會觸發傳統安全防禦措施的擔憂。

Censys報告稱，西班牙（110個）、台灣（78個）和義大利（73個）是英語國家以外地區暴露設備密度較高的地區。冰島的情況尤其突出，擁有36個設備，考慮到其人口規模，這一數字異常高，尤其值得注意的是，冰島嚴重依賴地熱能源基礎設施。

本週，美國網路安全機構發出警告，指出針對連網營運技術（OT）設備的網路攻擊仍在持續，其中包括羅克韋爾自動化及其旗下Allen-Bradley品牌的PLC，這些設備部署在多個關鍵基礎設施領域。自3月以來，此類攻擊活動已導致系統中斷，攻擊者透過惡意篡改專案檔案和人機介面（HMI）及監控與資料擷取系統（SCADA）顯示器上的資料來達到目的。在少數情況下，此類攻擊活動甚至造成了營運中斷和經濟損失。該警告特別強調了美國政府設施、供水和污水處理系統以及能源產業面臨的風險，因為這些領域都大量部署了羅克韋爾的系統。

Censys發現，暴露設備的ASN分佈顯示出明顯的集中性，主要集中在蜂窩運營商網路上。光是Verizon Business（CELLCO-PART）一家就佔了2,564台主機（佔全球總數的49.1%），AT&T Mobility又增加了693台（佔13.3%）。這種模式強烈表明，很大一部分暴露於互聯網的PLC是透過用於遠端現場連接的蜂窩調製解調器接入互聯網的。此安全建議明確指出，這種部署模式需要加強安全防護。

Censys 意識到，Verizon、AT&T、T-Mobile、Charter 和 Comcast 等面向消費者/企業的蜂窩 ASN 相對於工業或資料中心 ASN 的主導地位在營運上意義重大，並指出這些設備幾乎肯定部署在實體基礎設施（泵站、變電站、市政設施）中，蜂巢式數據機是其唯一的網路存取路徑。 “SpaceX-STARLINK 的存在（24 台主機）反映了衛星連接的工業控制系統 (ICS) 設備難以監控和修補的更廣泛趨勢。”

Censys報告指出：「EtherNet/IP身分響應會暴露設備級產品字串，從而無需身份驗證即可對PLC型號和韌體版本進行精細的指紋識別。排名前15的產品字串主要由兩個系列佔據：MicroLogix 1400（目錄前綴1766-）和CompactLogix（1769-、5069-180008），還有一個條目（此外2020202020），

Censys 建議優先採取措施，立即消除 PLC 直接暴露於網際網路的風險，要求遠端存取必須透過安全閘道或跳轉主機進行，並在非必要情況下停用蜂窩網路連線。對於配備實體模式開關的 CompactLogix 和 MicroLogix 設備，強烈建議操作人員將開關設為「運行」模式，因為它是少數無法遠端控制的控制項之一。

建議防禦人員緊急審查關鍵工業和遠端存取連接埠（包括 TCP 44818、2222、102、502 和 22）的入站流量日誌，尤其要注意此次攻擊活動中發現的可疑 IP 位址範圍。同時，應停用或嚴格保護連接到 PLC 的系統上的高風險服務，例如 VNC、Telnet 和 FTP，因為暴露的遠端存取路徑與觀察到的 SCADA 和 HMI 篡改類型相符。

其他措施包括在所有遠端OT存取點強制執行多因素身份驗證，審核運行舊韌體版本的易受攻擊的MicroLogix 1400部署，以及監控設備身份或韌體資料的異常變化，這些變化可能表明存在未經授權的修改。這些措施共同反映了在攻擊者積極利用現有途徑而非複雜漏洞的環境中，加強風險防範和偵測的趨勢。

資料來源：https://industrialcyber.co/industrial-cyber-attacks/censys-warns-systemic-exposure-of-rockwell-plcs-enable-iran-linked-targeting-of-critical-infrastructure-ot-networks/