Säkerhetsföretaget Cato Networks har identifierat en omfattande global cyberkampanj riktad mot industriella styrsystem (PLC). Aktiviteten spände över 70 länder med över 14 000 unika IP-adresser som måltavlor, där merparten (61%) fanns i USA, Frankrike och Japan. Kampanjen, som pågick under hösten 2025, utnyttjade sårbarheter i Modbus-protokollet – en kommunikationsstandard som är vanlig inom operativ teknik (OT).
OT-system används för att styra och övervaka fysiska processer i en rad samhällsviktiga sektorer, såsom tillverkningsindustri, energianläggningar och transportsystem. Angreppen som observerades var en blandning av automatiserad kartläggning i stor skala och mer målinriktade försök att identifiera, störa och potentiellt manipulera de anslutna systemen.
För att visualisera hotet skapade Cato Networks en demonstration baserad på en simulering av en dammanläggning. Där visade man hur en extern angripare, genom att utnyttja sårbarheterna i Modbus, kunde ta kontroll över systemen för att manipulera vattennivåer och tvinga dammluckor att öppnas och stängas på ett onormalt sätt. Demonstrationen illustrerar den direkta fysiska påverkan ett sådant cyberangrepp kan ha.
Enligt granskningen var tillverkningsindustrin den mest utsatta sektorn. Aktiviteten understryker en betydande risk: Modbus-protokollet utvecklades ursprungligen för isolerade, interna nätverk och saknar de säkerhetsmekanismer som krävs för att vara anslutet direkt till internet.
– Våra observationer visar tydligt att fientliga aktörer aktivt letar efter och försöker utnyttja industriella system som är exponerade mot internet. Även om syftet inte alltid är att orsaka omedelbar skada, utgör själva exponeringen en allvarlig sårbarhet för kritisk infrastruktur, säger Guy Waizel, Technology Evangelist på Cato Networks.
Resultaten är en viktig påminnelse om att kritisk infrastruktur är ett attraktivt mål för cyberangrepp och att det krävs robusta säkerhetsåtgärder för att skydda dessa miljöer från yttre hot. Cato Networks grundläggande rekommendation är att aldrig exponera OT-system som använder Modbus direkt mot internet, utan att först isolera dem och tillämpa strikta åtkomstkontroller.
BIld av Benita Welter
