Startseite | Blog | Iranische Bedrohungsakteure nutzen exponierte SPS, um US-kritische Infrastruktur ins Visier zu nehmen

Iranische Bedrohungsakteure nutzen exponierte speicherprogrammierbare Steuerungen (SPS) aus, um US-kritische Infrastrukturen ins Visier zu nehmen

Geschrieben von: REAKTION

4 min lesen - 12. April 2026

Eine gemeinsame Mitteilung des FBI, CISA, NSA, EPA, des Energieministeriums und des US Cyber Command, veröffentlicht am 7. April 2026, bestätigt, dass mit dem Iran verbundene APT-Akteure aktiv internetexponierte programmierbare Steuerungen in kritischen US-Infrastrukturen kompromittieren. Zu den Zielsektoren gehören Wasser- und Abwassersysteme, Energieversorgung, Regierungsgebäude und lokale Kommunen. Bestätigte Opfer erlitten Betriebsunterbrechungen und finanzielle Verluste.

was der Rat bestätigt

Die CISA-Beratung AA26-097A dokumentiert eine aktive Kampagne von mit dem Iran verbundenen fortgeschrittenen persistenten Bedrohungsakteuren, die auf internetfähige SPS abzielt – insbesondere auf solche, die von Rockwell Automation/Allen-Bradley hergestellt werden, einschließlich CompactLogix- und Micro850-Geräten. Der Beratungsdienst weist darauf hin, dass auch andere OT-Anbieter gefährdet sein könnten, wobei Indikatoren auf eine mögliche Zielsetzung von Siemens-SPS hindeuten.

Die Angreifer erlangten den ersten Zugriff über ausländische IPs und geleaste Infrastrukturen und nutzten legitime Ingenieurssoftware – Rockwells Studio 5000 Logix Designer –, um mit kompromittierten Geräten zu interagieren. Die Befehls- und Kontrollaktivitäten nutzten Ports wie 44818 (EtherNet/IP), 502 (Modbus) und 102 (S7). Nach dem Eindringen manipulierten die Akteure bösartig Projektdateien und die auf HMI- und SCADA-Systemen angezeigten Daten, was zu Betriebsunterbrechungen führte.

Das FBI stuft die Absichten der Gruppe so ein, dass sie in den Vereinigten Staaten störende Auswirkungen verursachen. Der Bericht führt die Eskalation auf den US-Iran-Israel-Konflikt zurück, der im Februar 2026 begann, wobei Aktivitäten bestätigt wurden, die bis ins März 2026 zurückreichen.

Dies folgt einem dokumentierten Muster

Diese Kampagne ist kein Einzelfall. Im November 2023 kompromittierten Akteure, die mit der IRGC in Verbindung stehen und als CyberAv3ngers – auch bekannt unter den Bezeichnungen Hydro Kitten, Storm-0784 und UNC5691 – verfolgt werden, mindestens 75 Unitronics SPS-Geräte in US-amerikanischen Wasserversorgungs- und Abwasseranlagen, indem sie Geräte mit Standard- oder keinen Passwörtern ausnutzten. Die Municipal Water Authority von Aliquippa, Pennsylvania, gehörte zu den bestätigten Opfern. Die USA verhängten daraufhin im Februar 2024 Sanktionen gegen sechs IRGC-Beamte.

In einer nachfolgenden Kampagne im Jahr 2024 setzte dieselbe Gruppe eine benutzerdefinierte Malware namens IOControl ein, um US-amerikanische und israelische Wasser- und Kraftstoffmanagementsysteme fernzusteuern. Das Programm "Belohnungen für Gerechtigkeit" bot daraufhin bis zu $10 Millionen für Informationen über die Gruppe an.

Die aktuelle Aktivität wird einer verwandten, aber separaten, mit dem Iran verbundenen APT-Gruppe zugeschrieben. Das Muster ist konstant: systematische Identifizierung backlashie, exponierter industrieller Steuerungssysteme, Ausnutzung schwacher oder Standardanmeldedaten und Manipulation von Betriebsabläufen, um Unterbrechungen statt dauerhaften Schäden zu verursachen – eine Fähigkeitsdemonstration im Auftrag des Staates.

Warum traditionelle Sicherheit das übersieht

Die kompromittierten SPSen in dieser Kampagne waren direkt aus dem Internet erreichbar. Der Angriff erforderte keine neuen Ausnutzungstechniken. Die Akteure nutzten die gleichen Engineering-Tools, die OT-Teams täglich verwenden, was es schwierig macht, böswillige Aktivitäten von legitimen Operationen zu unterscheiden.

Die meisten Organisationen gehen die industrielle Sicherheit von innen nach außen an – OT-Netzwerke segmentieren, internen Datenverkehr überwachen, Endpunktschutz bereitstellen. Was sie weiterhin nicht wahrnehmen, ist das, was Angreifer zuerst sehen: die externe Angriffsfläche. Eine internetfähige SPS ist für jeden, der einen Scan durchführt, sichtbar. Gerätetyp, Firmware-Version und offene Ports sind mit Tools wie Shodan innerhalb weniger Minuten auffindbar.

Wie ein Sicherheitsforscher in Reaktion auf die Mitteilung feststellte, ist das Kernproblem für Verteidiger die Offenlegung. Wenn SPS aus dem Internet erreichbar sind, haben Angreifer einen asymmetrischen Vorteil – sie können kontinuierlich und im großen Maßstab nach Schwachstellen suchen, während sich die Verteidiger auf interne Überwachung verlassen, die von einer ordnungsgemäßen Isolierung ausgeht.

Diese Annahme ist die Lücke. Sicherheitsteams entdeckten diese Eindringversuche erst, nachdem betriebliche Störungen manuelle Untersuchungen ausgelöst hatten. Die Angreifer hatten zu diesem Zeitpunkt bereits wochenlang den Zugriff aufrechterhalten, interne Systeme kartiert und zusätzliche Ziele identifiziert.

Sofortmaßnahmen für Sicherheitsteams

Die gemeinsame Empfehlung sieht für jede Organisation, die internetgestützte industrielle Steuerungssysteme betreibt, folgende Maßnahmen vor:

  • PLCs von direkter Internetexposition entfernen — Eine Firewall oder einen Netzwerkproxy vor jede SPS schalten und den Fernzugriff entfernen, der nicht über ordnungsgemäß konfigurierte Sicherheitskontrollen geleitet wird
  • Schalten Sie Hardware- oder Softwaremodus-Tasten in die “Run”-Position auf Rockwell-Geräten zur Verhinderung der Fernänderung von Projektdateien
  • Aktivieren Sie die Multifaktorauthentifizierung über alle OT-Remote-Zugangswege
  • Firmware und Anmeldeinformationen prüfen — Aktualisierung auf die neueste Firmware, Deaktivierung ungenutzter Dienste und Eliminierung von Standardbenutzernamen und -passwörtern
  • Überprüfen Sie Ihren äußeren Umkreis Überprüfen Sie für offene industrielle Protokolle die offenen Ports 502 (Modbus), 44818 (EtherNet/IP), 102 (S7) und 20000 (DNP3) in Ihren IP-Bereichen
  • Protokolle gegen veröffentlichte IOCs überprüfen — die Warnung enthält herunterladbare Kompromittierungsindikatoren in XML- und JSON-Formaten
  • Überwachen Sie Darknet-Kanäle für Threat-Actor-Diskussionen, die auf Ihren Sektor abzielen und gemeinsamen Zugriff auf industrielle Systeme ermöglichen

Das Gesamtbild

Diese Kampagne ist Teil eines breiteren Musters iranischer Cyber-Eskalation. Seit Beginn des Konflikts zwischen den USA, dem Iran und Israel im Februar 2026 haben mit dem Iran verbundene Gruppen Opfer wie Stryker, lokale Regierungen und Betreiber kritischer Infrastrukturen beklagt. Iranische Akteure tauschen zunehmend Informationen und Zugänge zwischen verbundenen Gruppen aus, was die Bedrohungsdauer für jede Organisation mit ins Internet offengelegten Industriesystemen verkürzt.

Die Auswirkungen auf die Lieferkette sind erheblich. Wie ein Sicherheitsführer in Reaktion auf den Ratschlag feststellte: “Wenn ein städtisches Versorgungsunternehmen ausfällt, spüren dies Lieferanten, Krankenhäuser und regionale Partner.” Jeder erfolgreiche Feldzug senkt die Hürde für den nächsten – von der Demonstration der Fähigkeiten hin zu tatsächlichen operativen Störungen.

Der CISA-Ratgeber besagt ausdrücklich, dass Organisationen in allen Sektoren der kritischen Infrastruktur davon ausgehen sollten, dass sie ins Visier geraten könnten, und ihre OT-Umgebungen proaktiv auf Risiken prüfen sollten, bevor Angreifer sie zuerst finden.

Wie CybelAngel diese Art von Exposition erkennt

Der Angriffsvektor in dieser Kampagne – über das Internet erreichbare industrielle Steuerungssysteme mit schwacher Authentifizierung – ist genau das, was CybelAngels Angriffsflächenmanagement Das Modul dient dazu, aufzudecken. Unsere Plattform scannt kontinuierlich nach exponierten PLCs, HMIs und industriellen Gateways in den IP-Bereichen von Kunden und der verbundenen Infrastruktur und identifiziert internetgestützte Systeme, bevor Angreifer sie erreichen.

Unser Credential Intelligence Das Modul überwacht Dark-Web-Quellen und Untergrundforen auf kompromittierte Anmeldeinformationen und Zugänge zu industriellen Systemen, die von Bedrohungsakteuren gehandelt oder beworben werden – einschließlich mit dem Iran verbundener Gruppen, die Zielinformationen über Netzwerke hinweg austauschen.

Wenn unsere Analysten exponierte industrielle Systeme oder gezielte Angriffe auf den Sektor eines Kunden erkennen, unser REACT-Team liefert sofortige Abhilfemaßnahmen und koordiniert die Reaktion. Die Erkennungslücke, die es diesen Akteuren wochenlang unentdeckt ermöglichte, zu operieren, ist genau das Fenster, das die Outside-in-Überwachung schließt.

Lesen Sie unseren Bericht, um mehr darüber zu erfahren, wie staatlich geförderte Gruppen auf industrielle Infrastrukturen abzielen Cyber-Bedrohungslandschaft in der Luft- und Raumfahrt sowie Verteidigung Bericht oder sehen Sie, wie APT28 nutzte einen ähnlichen Outside-in-Ansatz, um SOHO-Router zu kompromittieren für den Diebstahl von Anmeldeinformationen.

  1. CISA-Beratung AA26-097A – Iranisch verbundene Cyber-Akteure nutzen PLCs in kritischer US-Infrastruktur aus
  2. Gemeinsame Mitteilung des FBI/CISA – Cyberakteure mit Verbindungen zum IRGC nutzen SPS in mehreren Sektoren aus
  3. SecurityWeek – Iran-verbundene Hacker stören kritische US-Infrastruktur durch SPS-Angriffe
  4. CyberScoop — Iranische Hacker zielen auf die Energie- und Wasserinfrastruktur der USA
  5. The Hacker News – Iran-verbundene Hacker stören kritische Infrastruktur der USA
  6. CSO Online – Mit dem Iran verbundene PLC-Angriffe verursachen reale Störungen
  7. Dragos 2026 OT/ICS Cybersicherheitsbericht
  8. CISA Iran Bedrohungsübersicht und Ratschläge

Über den Autor

REAKTION

Das REACT-Team ist eine Elitegruppe von Cybersicherheitsanalysten, die bei CybelAngel arbeiten.

lies alle Artikel