Bezpieczeństwo nowoczesnych fabryk i elektrowni wciąż opiera się na technologii sprzed niemal pół wieku, co staje się coraz większym problemem dla globalnego biznesu. Najnowszy raport ekspertów z Cato Networks ostrzega przed falą cyberataków wymierzonych w sterowniki przemysłowe (PLC). Hakerzy wykorzystują fakt, że powszechnie używany protokół Modbus powstał w latach 70. i nie posiada żadnych zabezpieczeń – dla kogoś, kto potrafi go obsługiwać, przejęcie kontroli nad maszyną podłączoną do sieci jest dziś niepokojąco proste.
W centrum uwagi znajduje się Modbus – protokół komunikacyjny opracowany w 1979 roku. W czasach, gdy powstawał, nikt nie zakładał, że sterowniki przemysłowe (PLC) będą kiedykolwiek podłączone do publicznego internetu. Modbus projektowano z myślą o zaufanych, odizolowanych sieciach wewnętrznych. W efekcie całkowicie pozbawiono go mechanizmów, które dziś uznajemy za elementarne: szyfrowania oraz uwierzytelniania. Ta otwartość, niegdyś będąca zaletą ułatwiającą integrację systemów, stała się zaproszeniem dla hakerów.
Skalę problemu obrazują dane zebrane przez zespół pod kierownictwem dr Guya Waizela i Jakuba Osmaniego. Przez zaledwie trzy miesiące jesieni 2025 roku zidentyfikowali oni skoordynowaną aktywność wymierzoną w sterowniki PLC, obejmującą ponad 14 tysięcy zaatakowanych adresów IP w 70 krajach. To nie są odosobnione incydenty, lecz systematyczne mapowanie słabych punktów światowego przemysłu.
Strategia napastników jest wielowarstwowa i precyzyjna. Większość zidentyfikowanych interakcji – ponad 235 tysięcy żądań – dotyczyła tzw. ekstrakcji danych. Hakerzy nie próbują od razu niszczyć maszyn; zamiast tego cicho odczytują zawartość rejestrów, poznając parametry procesów i konfigurację urządzeń. Kolejnym krokiem jest „pobieranie odcisków palców” sprzętu. Znając producenta i wersję oprogramowania, przestępcy mogą dopasować konkretne luki bezpieczeństwa do konkretnej maszyny.
To, co zaczyna się od niewinnego zbierania informacji, może szybko przeistoczyć się w scenariusz katastroficzny. Aby zrozumieć realne ryzyko, eksperci Cato Networks przeprowadzili symulację na projekcie Wildcat-Dam. Wykazali, że dysponując jedynie laptopem i dostępem do niezabezpieczonego protokołu Modbus, są w stanie przejąć kontrolę nad cyfrową logiką zapory wodnej. Manipulując wartościami rejestrów, badacze wywołali sztuczną powódź, unieważniając limity bezpieczeństwa i zdalnie otwierając bramy tamy.
Geografia ataków pokrywa się z mapą globalnych potęg przemysłowych. Na celowniku znalazły się przede wszystkim Stany Zjednoczone, Francja i Japonia, które łącznie odpowiadają za 61 procent incydentów. Niepokojący jest również fakt, że napastnicy nie ograniczają się do jednej branży. Choć sektor wytwórczy jest najczęstszą ofiarą, ślady ingerencji odnaleziono w placówkach opieki zdrowotnej, budownictwie, a nawet w systemach zarządzania infrastrukturą miejską. Wyłania się z tego obraz hakerstwa oportunistycznego: atakujący szukają jakiegokolwiek dostępnego sterownika, który został lekkomyślnie wystawiony na działanie publicznej sieci.
Analiza techniczna sugeruje, że część tej aktywności pochodzi z infrastruktury zlokalizowanej w Chinach, choć tożsamość aktorów pozostaje ukryta za systemami serwerów pośredniczących. Dla decydentów biznesowych kluczowym wnioskiem nie jest jednak wskazanie konkretnego winnego, lecz uświadomienie sobie strukturalnej wady własnych systemów.
