Mối Đe Dọa Mạng Nghiêm Trọng: APT Tấn Công PLC Rockwell

Cơ quan an ninh mạng hàng đầu đã cùng nhau công bố vào ngày 7 tháng 4 năm 2026 về hoạt động tích cực của các tác nhân đe dọa mạng (APT) nhằm vào các bộ điều khiển logic khả trình (PLC) của Rockwell Automation/Allen-Bradley đang kết nối internet. Đây là một **mối đe dọa mạng** nghiêm trọng đối với cơ sở hạ tầng trọng yếu.

Các thiết bị công nghiệp này được sử dụng rộng rãi trong các lĩnh vực quan trọng như nhà máy xử lý nước, cơ sở năng lượng và hoạt động của chính phủ. Thông báo cảnh báo, mang mã số AA26-097A, đã xác nhận rằng mối đe dọa này đang diễn ra và đặt ra **rủi ro bảo mật** nghiêm trọng cho các môi trường công nghệ vận hành (OT) trên toàn cầu.

Phân Tích Nhóm Tác Nhân Đe Dọa và Chiến Dịch Tấn Công

Các tác nhân đứng sau chiến dịch này được theo dõi dưới nhiều biệt danh, bao gồm CyberAv3ngers, Shahid Kaveh Group, Storm-0784, Bauxite và UNC5691.

Bắt đầu từ tháng 11 năm 2023, cùng một nhóm đã xâm nhập ít nhất 75 PLC Unitronics tại các cơ sở nước và nước thải ở Hoa Kỳ, theo tài liệu trong cảnh báo CISA AA23-335A.

Chiến dịch hiện tại, hoạt động từ ít nhất tháng 3 năm 2026, đánh dấu sự leo thang đáng kể khi chuyển mục tiêu sang các thiết bị của Rockwell. Điều này thể hiện khả năng thích ứng và mở rộng phạm vi tấn công của nhóm.

Phân Tích Bề Mặt Tấn Công và **Mối Đe Dọa Mạng**

Các nhà nghiên cứu của Censys đã xác định 5.219 host tiếp xúc với internet trên toàn cầu phản hồi giao thức EtherNet/IP (EIP) trên cổng 44818 và tự nhận dạng là thiết bị Rockwell Automation/Allen-Bradley. Con số này đại diện cho toàn bộ bề mặt tấn công liên quan đến cảnh báo hiện tại. Một báo cáo chi tiết từ Censys đã nêu rõ các phát hiện này: Censys Blog: Iranian-affiliated APT Targeting Rockwell/Allen-Bradley PLCs.

Riêng Hoa Kỳ chiếm 74,6% trong số đó, với 3.891 host đang gặp rủi ro. Các quốc gia như Tây Ban Nha (110 host), Đài Loan (78) và Ý (73) cũng cho thấy mức độ tiếp xúc đáng chú ý.

Phân bố địa lý rộng khắp này nhấn mạnh tính toàn cầu của **mối đe dọa mạng** và tầm quan trọng của các biện pháp **an ninh mạng** toàn diện.

Phương Thức Khai Thác Đáng Báo Động

Điểm đáng lo ngại của chiến dịch này là các tác nhân đe dọa không sử dụng các lỗ hổng zero-day. Thay vào đó, chúng lợi dụng phần mềm kỹ thuật hợp pháp của Rockwell – Studio 5000 Logix Designer – để truy cập trực tiếp vào các PLC kết nối internet.

Phương pháp này cho phép chúng đọc và sửa đổi các tệp dự án, đồng thời thao túng các màn hình hiển thị HMI/SCADA, khiến hoạt động độc hại khó bị phát hiện hơn. Điều này đại diện cho một hình thức xâm nhập tinh vi, không dựa vào các lỗ hổng phần mềm mới mà thay vào đó là cấu hình không an toàn.

Các dòng thiết bị đã được xác nhận là mục tiêu bao gồm CompactLogix và Micro850. Ngoài ra, các giao thức OT khác như Modbus (cổng 502) và S7 (cổng 102) cũng đang bị thăm dò tích cực, cho thấy nhóm có thể đang mở rộng mục tiêu trên nhiều nền tảng nhà cung cấp khác nhau.

Kênh Kết Nối và **Rủi Ro Bảo Mật** Tiềm Ẩn

Một phần lớn các thiết bị đang bị phơi nhiễm – gần 49,1% tổng số trên toàn cầu – nằm phía sau modem di động của Verizon Business, với AT&T Mobility chiếm thêm 13,3%.

Nhiều PLC trong số này được triển khai tại các trạm bơm, trạm biến áp điện và các cơ sở đô thị, kết nối với internet thông qua modem di động thay vì các liên kết mạng an toàn. Sự hiện diện nặng nề của các mạng di động và nhà cung cấp dịch vụ tiêu dùng thay vì các ASN công nghiệp làm nổi bật một **rủi ro bảo mật** triển khai rộng rãi và thường bị bỏ qua, đòi hỏi sự chú ý khẩn cấp.

Dịch Vụ Cùng Tiếp Xúc Mở Rộng Bề Mặt Tấn Công

Ngoài việc tiếp xúc với giao thức EIP, Censys đã liệt kê các giao thức trên 5.219 host và phát hiện ra các dịch vụ cùng tiếp xúc đáng kể làm mở rộng bề mặt tấn công. Một **mối đe dọa mạng** tiềm tàng khác đến từ các dịch vụ này.

• Dịch vụ VNC được tìm thấy trên 771 trường hợp – cung cấp cho kẻ tấn công quyền truy cập trực tiếp vào máy tính để bàn từ xa của các máy trạm HMI.
• Telnet xuất hiện trên 280 host và Modbus trên 292, cả hai đều bổ sung thêm các điểm truy cập không được bảo vệ, hoàn toàn phù hợp với các hành vi tấn công được mô tả trong cảnh báo AA26-097A.

Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)

Phân tích IOC của Censys từ các chỉ số đã công bố cho thấy bảy địa chỉ IP 185.82.73.x của CISA thực sự đại diện cho một máy trạm kỹ thuật Windows đa giao diện duy nhất chạy toàn bộ bộ công cụ Rockwell – chứ không phải bảy máy riêng biệt.

Bốn IP điều hành bổ sung trên cùng một host đã không có trong cảnh báo. Một máy chủ trung gian riêng biệt tại 135.136.1.133 đã được chuẩn bị vào tháng 2 năm 2026, được kích hoạt trong một khoảng thời gian bốn ngày được tính toán kỹ lưỡng vào giữa tháng 3, sau đó bị bỏ đi hoàn toàn. Các chỉ số thỏa hiệp này cần được giám sát chặt chẽ để phát hiện **mối đe dọa mạng** tiềm ẩn.

Danh sách IOC quan trọng:

• Địa chỉ IP:
  • 185.82.73.160
  • 185.82.73.161
  • 185.82.73.163
  • 185.82.73.166
  • 135.136.1.133 (máy chủ trung gian)

Biện Pháp Giảm Thiểu và Nâng Cao **An Ninh Mạng** cho Hệ Thống OT

Các tổ chức đang vận hành PLC của Rockwell/Allen-Bradley cần loại bỏ ngay lập tức các thiết bị này khỏi việc tiếp xúc trực tiếp với internet. Đây là biện pháp cấp bách nhất để giảm thiểu **rủi ro bảo mật**.

Đối với các thiết bị CompactLogix và MicroLogix, việc đặt công tắc chế độ vật lý ở vị trí RUN là biện pháp kiểm soát hiệu quả nhất mà không thể bị ghi đè từ xa. Điều này cung cấp một lớp bảo vệ cơ bản nhưng mạnh mẽ.

Các quản trị viên nên thực hiện các biện pháp **an ninh mạng** sau:

• Vô hiệu hóa VNC, Telnet và FTP trên bất kỳ host nào đặt chung với PLC.
• Triển khai xác thực đa yếu tố (MFA) cho tất cả các truy cập OT từ xa. Thông tin thêm về MFA có thể tham khảo: Microsoft Multi-Factor Authentication Issue.
• Kiểm tra lại các triển khai MicroLogix 1400 đang chạy các phiên bản firmware đã hết vòng đời hỗ trợ (end-of-sale firmware versions) như C/21.02 và C/21.07.

Tất cả lưu lượng truy cập đến trên các cổng TCP 44818, 2222, 102, 502 và 22 từ các IP điều hành đã biết – bao gồm các địa chỉ mới được xác định là 185.82.73.160, .161, .163 và .166 – cần được xem xét và chặn ngay lập tức. Việc áp dụng các quy tắc tường lửa nghiêm ngặt là rất cần thiết để giảm thiểu **mối đe dọa mạng** này.