Nach Angaben von Censys antworten weltweit 5.219 über das Internet erreichbare Hosts auf das Protokoll EtherNet/IP (EIP) und geben sich als Geräte von Rockwell Automation/Allen-Bradley zu erkennen. Auf die USA entfallen davon 74,6 Prozent, also 3.891 Hosts. Auffällig sei der überdurchschnittlich hohe Anteil auf den Netzbereichen von Mobilfunkanbietern – ein Hinweis darauf, dass viele dieser Steuerungen im Feld über Mobilfunkmodems angebunden sind.

Die beteiligten US-Behörden warnen, dass die Kampagnen iranisch verbundener APT-Gruppen gegen US-Organisationen zuletzt deutlich zugenommen hätten, wahrscheinlich als Reaktion auf die Feindseligkeiten zwischen dem Iran sowie den USA und Israel. Laut FBI führten die Angriffe dazu, dass die Projektdatei der Geräte extrahiert und Daten auf HMI- und SCADA-Anzeigen verändert wurden.

Zur Verteidigung raten die Behörden, PLCs durch eine Firewall abzusichern oder vom Internet zu trennen, Protokolle auf Anzeichen schädlicher Aktivität zu durchsuchen und den Datenverkehr an OT-Ports zu prüfen – insbesondere, wenn er von ausländischen Hosting-Anbietern ausgeht. Zusätzlich sollten Administratoren eine Mehr-Faktor-Authentifizierung (MFA) für den Zugriff auf OT-Netze durchsetzen, alle PLC-Geräte aktuell halten sowie ungenutzte Dienste und Authentifizierungsmethoden deaktivieren.

Die laufende Kampagne knüpft an ähnliche Angriffe von vor knapp drei Jahren an. Damals nahm eine dem iranischen Korps der Islamischen Revolutionsgarden (IRGC) zugerechnete Gruppe namens CyberAv3ngers Schwachstellen in OT-Systemen des US-Herstellers Unitronics ins Visier. Zwischen November 2023 und Januar 2024 kompromittierten die Angreifer in mehreren Wellen mindestens 75 Unitronics-PLC-Geräte; die Hälfte davon stand in Netzen der Wasser- und Abwasserversorgung in den USA.

Erst kürzlich löschte zudem die Hacktivisten-Gruppe Handala, die dem iranischen Geheimdienstministerium zugeordnet wird, rund 80.000 Geräte aus dem Netzwerk des US-Medizintechnikkonzerns Stryker – darunter Mobilgeräte von Mitarbeitern und vom Unternehmen verwaltete Privatrechner.