Cato Networks har afdækket en global hackerkampagne mod styresystemerne i fabrikker, energianlæg og transportsektoren. På tre måneder fandt Cato Networks mere end 14.000 IP-adresser i 70 lande. Flest i USA, Frankrig og Japan. Kampagnen kørte i efteråret 2025 og udnyttede svagheder i Modbus, en udbredt kommunikationsstandard i industriens styresystemer (OT).
OT-systemer styrer produktionsbånd på fabrikker, ventiler på energianlæg og signaler i transportsektoren. Står sådan et anlæg åbent på internettet, kan en hacker finde det og i værste fald sende kommandoer, der overtager kontrollen over maskinerne.
Produktionsindustrien blev hårdest ramt og udgjorde 18 procent af målene, viser Catos analyse. De fleste forsøg var simpel scanning efter sikkerhedshuller. Men en del gik længere.
Sluserne åbnede uden om kontrolsystemet
Catos forskere har vist, hvor langt et angreb kan nå. I en simulation på MITRE’s Wildcat Dam-model pressede de vandstanden op over alarmgrænsen og åbnede og lukkede dæmningens sluser uden om kontrolsystemet. Konsekvenserne i et rigtigt dæmningsanlæg ville være massive.
Modbus blev udviklet til lukkede, interne netværk. Protokollen har ikke de sikkerhedsmekanismer, der skal til, når den står direkte på internettet.
“Vi kan se, at hackerne hver dag scanner internettet for industrianlæg, de kan udnytte. Står anlægget åbent, er det en risiko i sig selv. Også selv om hackeren ikke slår til med det samme,” siger Guy Waizel, Technology Evangelist hos Cato Networks.
Én computer sendte 3.240 kommandoer til samme anlæg
Det mest opsigtsvækkende fund er én enkelt IP-adresse, der over tre måneder sendte 3.240 kommandoer til ét bestemt anlæg. Ikke scanning, men aktive forsøg på at tage kontrol.
Cato Networks anbefaler, at Modbus-baserede OT-systemer aldrig forbindes direkte til internettet. De skal isoleres bag firewalls og have stram adgangskontrol.
Læs hele analysen her: https://www.catonetworks.com/blog/global-campaign-discovered-with-modbus-plcs-targeted/
