Des hackers liés à l’Iran se sont récemment attaqués aux infrastructures critiques américaines, en ciblant des contrôleurs logiques programmables (PLC) exposés sur Internet, notamment ceux fabriqués par Rockwell Automation.
Un avis conjoint publié par plusieurs agences fédérales américaines indique que ces groupes parrainés par l’État iranien ont intensifié leurs actions contre les dispositifs PLC de Rockwell Automation/Allen-Bradley depuis mars 2026, entraînant des perturbations opérationnelles et des pertes financières.
Selon l’avis, « les campagnes de ciblage par des groupes APT liés à l’Iran contre des organisations américaines ont récemment augmenté, probablement en réponse aux tensions entre l’Iran, les États-Unis et Israël ».
L’FBI a constaté que ces attaques ont conduit à l’extraction de fichiers de projets et à la manipulation de données sur les affichages HMI et SCADA.
Un jour après, la société de cybersécurité Censys a rapporté que 75 % des plus de 5 200 systèmes de contrôle industriels exposés en ligne dans le monde sont situés aux États-Unis.
Les données de Censys révèlent que 5 219 hôtes exposés à Internet répondant au protocole EtherNet/IP, s’identifiant comme des dispositifs Rockwell Automation/Allen-Bradley, sont présents globalement. Les États-Unis représentent 74,6 % de cette exposition, soit 3 891 hôtes, avec une part disproportionnée sur des ASN de fournisseurs cellulaires, signalant des dispositifs déployés sur des modems cellulaires.
Pour se défendre contre ces attaques, il est recommandé aux administrateurs de sécuriser les PLC à l’aide d’un pare-feu ou de les déconnecter d’Internet, de contrôler les journaux à la recherche de signes d’activités malveillantes et de vérifier le trafic suspect sur les ports OT, en particulier lorsque celui-ci provient de fournisseurs d’hébergement étrangers.
Il est également conseillé d’appliquer une authentification multifactorielle pour l’accès aux réseaux OT, de tenir à jour tous les dispositifs PLC et de désactiver les services inutilisés et les méthodes d’authentification.
Cette campagne s’inscrit dans la continuité des attaques similaires menées il y a presque trois ans par un groupe de menace affilié aux Gardiens de la Révolution islamique, connu sous le nom de CyberAv3ngers, qui avait ciblé des vulnérabilités dans les systèmes de technologie opérationnelle (OT) basés aux États-Unis.
Les hackers de CyberAv3ngers avaient compromis au moins 75 dispositifs PLC de Unitronics lors de plusieurs vagues d’attaques entre novembre 2023 et janvier 2024, dont la moitié dans des réseaux d’infrastructure critique liés aux systèmes d’eau et d’assainissement aux États-Unis.
Plus récemment, le groupe de hacktivistes Handala, lié au ministère iranien du Renseignement et de la Sécurité, a effacé environ 80 000 dispositifs du réseau du géant médical américain Stryker, y compris les appareils mobiles des employés et les ordinateurs personnels gérés par l’entreprise.