ABD’de federal kurumlar, 7 Nisan 2026’da acil bir ortak uyarı yayımladı: İran bağlantılı APT grupları, internete açık operasyonel teknoloji cihazlarını —özellikle Rockwell Automation/Allen‑Bradley PLC’lerini— aktif biçimde istismar ediyor. Faaliyet Mart 2026’dan beri sürüyor ve “ABD içinde kesintiler yaratma” amacı taşıyor. Uyarının altında FBI, CISA, NSA, Enerji Bakanlığı, US Cyber Command ve EPA imzası var.
Ajanslara göre saldırganlar proje dosyalarıyla oynuyor, HMI/SCADA ekranlarındaki verileri manipüle ediyor. Bazı vakalarda operasyonlar aksadı ve maddi kayıplar yaşandı.
Hedefte birden çok kritik altyapı var: yerel belediyeleri de kapsayan Government Services and Facilities, su ve atıksu sistemleri ile enerji sektörü öne çıkıyor.
Resmi metin tehdit grubunun adını vermiyor; ancak bağımsız analizler, kampanyayı daha önce CyberAv3ngers (Shahid Kaveh Group) diye izlenen, IRGC bağlantılı aktörlerle ilişkilendiriyor. Bu dalga, 2023’teki Unitronics vakalarını andırıyor.
Son haftalardaki tablo da riski büyütüyor: Mart ortasında medikal teknoloji şirketi Stryker’a yönelik yıkıcı saldırı gibi olaylar, çatışma döneminde İran yanlısı grupların taktik yükselişini göstermişti.
Kuruluşlar ne yapmalı?
Uyarıda öne çıkan adımlar özetle şöyle:
- PLC’leri doğrudan internete kapatın; erişimi güvenli ağ geçidi/VPN ve atlama sunucuları üzerinden sınırlandırın.
- Günlükleri IOC’ler için tarayın; 44818 (EtherNet/IP), 2222, 102 (S7) ve 502 (Modbus) gibi OT portlarında şüpheli trafiği kontrol edin.
- OT ağlarını segmentlere ayırın; HMI/SCADA sistemlerini yalnızca iç ağda tutun.
- Rockwell Automation cihazlarında gerekmedikçe fiziksel mod anahtarını yetkisiz değişiklikleri engelleyecek şekilde konumlandırın; üretici rehberlerini izleyin.
- Varsayılan/şifresiz cihaz bırakmayın; güçlü parolalar ve mümkünse çok faktörlü kimlik doğrulama uygulayın.
- Olay şüphesinde CISA/FBI ile irtibata geçin; su ve atıksu işletmeleri için EPA’nın teknik destek programlarını kullanın.
Censys’in değerlendirmesi, saldırganların çoğu durumda sıfır-gün açıklarına ihtiyaç duymadan, internete doğrudan açılmış PLC’lere üreticinin mühendislik yazılımlarıyla bağlanabildiğini; meselenin büyük ölçüde yanlış yapılandırma ve zayıf erişim kontrolleri olduğunu gösteriyor.
Kaynak: www.techspot.com
