Netcrook Logo
👤 AGONY
🗓️ 13 Apr 2026   🌍 Middle-East

مكشوفة على نطاق واسع: كيف يحوّل قراصنة إيرانيون وحدات Rockwell PLC إلى أهداف للبنية التحتية الحيوية

العنوان الفرعي: آلاف أجهزة التحكم الصناعي مكشوفة بشكل خطير على الإنترنت مع تصاعد التهديدات السيبرانية الإيرانية، ما يعرّض مرافق وخطوط إنتاج أمريكية لمخاطر غير مسبوقة.

بدأ الأمر بتحذير كان من السهل تجاهله: في 7 أبريل/نيسان 2026، أطلقت وكالات فيدرالية أمريكية بهدوء ناقوس الخطر بشأن مشغّلين سيبرانيين إيرانيين يستهدفون بنشاط وحدات التحكم المنطقية القابلة للبرمجة (PLCs) التابعة لشركة Rockwell Automation - وهي العقول الرقمية وراء أنظمة المياه والطاقة والتصنيع. لكن أدلة جديدة تكشف أن التهديد ليس بعيدًا أو نظريًا. إنه هنا، واسع الانتشار، وإلى حد كبير بلا حراسة.

وفقًا لبيانات مسح حديثة من Censys، فإن حجم الانكشاف صادم: أكثر من خمسة آلاف وحدة Rockwell PLC متروكة مكشوفة على الإنترنت، كثير منها في مواقع ميدانية حرجة مثل مضخات المياه ومحطات تحويل الطاقة. الغالبية العظمى موجودة في الولايات المتحدة، وغالبًا ما تكون متصلة عبر مودمات خلوية بسيطة مع حد أدنى من الحماية. بالنسبة للخصوم، هذه مساحة هجوم لا تُقاوَم.

أشار التحذير الحكومي الأولي إلى سبعة عناوين IP مشبوهة كبنية تحتية للمهاجمين. لكن نظرة أدق تروي قصة أكثر دقة - وأكثر إثارة للقلق. فهذه العناوين جميعها تُحلّ إلى جهاز كمبيوتر هندسي واحد يعمل بنظام Windows، قام المهاجمون بتخصيصه باستخدام أدوات Rockwell نفسها. منصة الإطلاق الرقمية هذه، التي تم التعرف عليها عبر شهادة سطح مكتب بعيد فريدة (“DESKTOP-BOE5MUC”), كانت تستخدم بذكاء عدة اتصالات إنترنت لإخفاء أنشطتها. وقد تتبّع الباحثون الآن ما لا يقل عن أربعة عناوين IP إضافية للمهاجمين مرتبطة بالإعداد نفسه - نقاط عمياء لم يلتقطها التنبيه الأصلي.

ولزيادة الغموض، تبيّن أن أحد عناوين IP المدرجة كان خادمًا “مؤقتًا” في رومانيا: استُؤجر بسرعة، واستُخدم للمسح في منتصف مارس/آذار، ثم تُرك. هذا النوع من البنية التحتية الرشيقة يجعل الإسناد والدفاع أكثر صعوبة.

المخاطر التقنية وخيمة. كثير من وحدات PLC المكشوفة هي طرازات MicroLogix 1400 المتقادمة التي تعمل ببرامج ثابتة قديمة، أو أنظمة أحدث مثل CompactLogix وMicro850. المئات منها مقترنة بمنافذ VNC أو Telnet مفتوحة - ما يعني أنه إذا تمكن القراصنة من الدخول، يمكنهم حرفيًا رؤية الشاشات الصناعية التي تتحكم بالعمليات الحيوية والتلاعب بها. يمكن لوحدة PLC مخترقة أن تغيّر معايير معالجة المياه، أو تعطل تدفقات الطاقة، أو تخرب خطوط المصانع.

يدعو الخبراء إلى تحرك فوري. الأولوية القصوى: إزالة وحدات PLC من الوصول المباشر إلى الإنترنت. وإذا كانت الإدارة عن بُعد ضرورية، فيجب حمايتها خلف بوابة آمنة ومصادقة متعددة العوامل. وعلى أرض الواقع، يمكن لمجرد تدوير مفتاح التحويل الفيزيائي إلى وضع “RUN” في بعض الطرازات أن يمنع العبث عن بُعد. وأخيرًا، يجب على المؤسسات تحديث قواعد الجدار الناري لحظر جميع عناوين IP الخاصة بالمهاجمين - وخاصة تلك المكتشفة حديثًا - ومراقبة الاتصالات المشبوهة إلى المنافذ الصناعية بيقظة.

هذه الحادثة جرس إنذار لمشغّلي البنية التحتية الحيوية في كل مكان. الخط الفاصل بين الاستطلاع الرقمي والاضطراب في العالم الحقيقي أصبح أرق من أي وقت مضى، والخصوم موجودون بالفعل داخل المحيط. حان الوقت لإقفال الأبواب الرقمية قبل أن ينتقل الهجوم التالي من المسح إلى التخريب.

WIKICROOK

  • PLC (وحدة تحكم منطقية قابلة للبرمجة): الـ PLC هو حاسوب متين يقوم بأتمتة والتحكم في الآلات والعمليات الصناعية في المصانع والمنشآت وغيرها من البيئات الصناعية.
  • APT (تهديد متقدم مستمر): التهديد المتقدم المستمر (APT) هو هجوم سيبراني طويل الأمد وموجّه تنفذه مجموعات ماهرة، غالبًا بدعم دول، بهدف سرقة البيانات أو تعطيل العمليات.
  • VNC (الحوسبة عبر الشبكة الافتراضية): يتيح VNC للمستخدمين عرض شاشة حاسوب آخر والتحكم بها عن بُعد في الوقت الحقيقي عبر شبكة أو عبر الإنترنت.
  • شهادة سطح المكتب البعيد: تقوم شهادة سطح المكتب البعيد بمصادقة وتشفير اتصالات سطح المكتب البعيد، بما يضمن اتصالًا آمنًا ويحمي من الوصول غير المصرح به أو اعتراض البيانات.
  • البرامج الثابتة (Firmware): البرامج الثابتة هي برمجيات متخصصة مخزنة داخل الأجهزة، تدير عملياتها الأساسية وأمنها، وتمكّنها من العمل بشكل صحيح.
Iranian Hackers Rockwell PLCs Cybersecurity Threats
AGONY AGONY
Elite Offensive Security Commander
← Back to news