Markus Mueller von Nozomi Networks zeigte sich von der Warnung nicht überrascht. Man habe in den vergangenen Jahren beobachtet, dass staatsnahe Gruppen öffentlich erreichbare OT-Geräte angreifen, sobald die geopolitische Aktivität zunehme – das prominenteste Beispiel sei die Kampagne der CyberAv3ngers gegen Unitronics-Geräte in den Jahren 2023/24. Trotz Aufrufen von Herstellern wie Rockwell, solche Geräte vom öffentlichen Netz zu trennen (Rockwell-Hinweis SD1771), seien viele weiterhin online – allein bei Rockwell mehr als 3.000 in Nordamerika.
Mueller wies zudem darauf hin, dass Bedrohungsgruppen seit Beginn des Konflikts Hunderte unbestätigte Behauptungen über kompromittierte OT-Geräte aufgestellt hätten, ohne dass betroffene Organisationen dies öffentlich gemacht hätten. Es sei üblich, dass solche Gruppen Screenshots von Steuerungssystemen veröffentlichten und einen Zugriff behaupteten, selbst wenn sie keinen erlangt hätten.
Denis Calderone von Suzu Labs beschrieb die Operationen als vergleichsweise gezielt: Die Angreifer nutzten Studio 5000 Logix Designer, um auf CompactLogix- und Micro850-Steuerungen auf Dateiebene zuzugreifen, die Steuerlogik physischer Prozesse zu extrahieren und Anzeigewerte auf HMI- und SCADA-Displays zu manipulieren. Zeige ein Display einem Betreiber normale Druck-, Durchfluss- oder Dosierwerte an, während die tatsächlichen Werte abwichen, träfe dieser Entscheidungen auf Basis falscher Daten.
Calderone warnte davor, das Problem allein Rockwell zuzuschreiben, auch wenn der Hersteller rund 35 bis 40 Prozent des US-SPS-Marktes halte. Die Kompromittierungsindikatoren der Warnung umfassten unter anderem Verkehr über Port 102 (S7comm, ein Siemens-Protokoll); die Warnung selbst nenne „möglicherweise weitere Marken-SPS“ als gefährdet. Zur Liste der Ports zählten 44818 (EtherNet/IP), 102 (S7comm) und 502 (Modbus). SPS dürften niemals direkt aus dem Internet erreichbar sein, müssten aber zusätzlich in segmentierten OT-Netzzonen hinter überwachten Firewall-Grenzen liegen.
Duncan Greatwood von Xage Security kritisierte, das bloße Trennen vom Internet bleibe eine vorübergehende Reaktion auf eine systemische Schwachstelle; selbst bei getrennter Infrastruktur könne der malware-infizierte Laptop eines Technikers einen Angriff in das Netz tragen. CISAs Empfehlung zur Mehr-Faktor-Authentifizierung sei ein positiver Schritt, der Hinweis auf Fernzugriff über VPN dagegen problematisch, da VPNs als unsichere Form des Fernzugriffs gälten. Statt allein auf Patches zu setzen, müssten Betreiber den Zugang zur SPS streng kontrollieren und auf Zero-Trust-Architekturen wie Just-in-time-Zugriffsrechte und Mikrosegmentierung setzen.
Damon Small (Xcape) nannte eine aus dem Internet erreichbare SPS eine „vorbereitete kinetische Waffe“ und empfahl, bei CompactLogix- und Micro850-Geräten den Betriebsartenschalter physisch auf RUN zu stellen, um Fernänderungen an der Logik zu blockieren, sowie Ports wie 44818 und 2222 zu prüfen und Standardanmeldedaten zu ersetzen.
Weitere Stimmen kamen von Lieutenant General Ross Coffman (Forward Edge-AI), David Sequino (OmniTrust), Ross Filipek (Corsica Technologies), Steve Povolny (Exabeam) und Süleyman Özarslan (Picus Security). Mehrere von ihnen betonten, die Angreifer nutzten dieselbe Engineering-Software und vertrauenswürdige Verbindungen wie die OT-Teams selbst, was bösartige Aktivität schwer erkennbar mache, und das Kernproblem sei die Erreichbarkeit der SPS aus dem Internet.
