Analyzing CPS Attack Trends

Angreifer, die mit russischen Interessen verbunden sind, richteten ihre Aktivitäten hauptsächlich auf EU-Länder und die Ukraine. Italien machte 18 Prozent dieser Vorfälle aus, gefolgt von Frankreich mit 11 Prozent und Spanien mit 9 Prozent. Direkte Aktionen gegen die Ukraine lagen bei 8 Prozent und betrafen oft Energie- und Heizungsinfrastruktur. Gruppen mit iranischer Ausrichtung konzentrierten sich auf Ziele in den USA (42 Prozent) und Israel (39 Prozent), mit kleineren Anteilen in Frankreich, Griechenland und anderen genannten Ländern. Die Angriffe spiegeln regionale Ausrichtungen wider. Russischsprachige Akteure fokussierten sich auf Nationen, die Unterstützung im Ukraine-Konflikt leisten. Iranisch und arabisch ausgerichtete Akteure stellten Operationen als Reaktionen auf Entwicklungen im Nahen Osten dar. Eine kleinere Gruppe außerhalb der Kernzonen übernahm russische Positionen und erweiterte die Reichweite durch geteilte Ressourcen.

Die Sektoren Fertigung, Wasser und Abwasser sowie Stromerzeugung bildeten den Kern der Ziele und machten zusammen mehr als 45 Prozent der Fälle aus. Die Fertigung führte mit 19 Prozent, Wasser und Abwasser mit 15 Prozent und Stromerzeugung mit 12 Prozent. Diese Sektoren wurden aufgrund ihrer Sichtbarkeit und des Potenzials ausgewählt, Störungen im Alltagsleben zu signalisieren. Weitere Sektoren umfassten Landwirtschaft (10 Prozent), Öl und Gas (9 Prozent), Einzelhandel und Gastgewerbe (8 Prozent), Gesundheitswesen (8 Prozent) sowie weitere mit geringeren Anteilen.

Technische Muster sind auffällig. In 82 Prozent der Vorfälle setzten Angreifer Virtual-Network-Computing (VNC) Clients ein, um auf internet-exponierte Geräte zuzugreifen. Die Geräte wiesen häufig Standard- oder schwache Zugangsdaten auf, die eine Fernsteuerung ermöglichten. Supervisory-Control-and-Data-Acquisition-(SCADA-) und Human-Machine-Interface-(HMI-)Systeme waren in 66 Prozent der Kompromittierungen betroffen. Der Modbus-Protokoll-Zugriff trat in einem kleineren Teil auf, meist kombiniert mit VNC. Weitere Vektoren umfassten HTTP (7 Prozent), Herstellersoftware (6 Prozent) sowie begrenzte Fälle kompromittierter PCs oder Fernsteuerungsprotokolle.

Die operative Abfolge folgte einheitlichen Stufen. Zuerst identifizierten die Akteure Geräteklassen, die Dienste wie VNC oder Modbus freigaben. Anschließend befragten sie Scanning-Plattformen, um internet-exponierte Instanzen zu finden. Die Enumeration nutzte Open-Source-Clients zum Auslesen von Registern oder Testen von Zugangsdaten. Der Zugriff führte zu Parameteränderungen, die physische Prozesse beeinflussten. Abschließende Schritte umfassten die Erfassung von Beweisen und die Veröffentlichung von Claims auf öffentlichen oder geschlossenen Kanälen, um die Handlungen mit politischen Positionen zu verbinden.

Der Ansatz unterscheidet sich von herkömmlichen gezielten Kampagnen. Anstatt dauerhafter Präsenz oder Zero-Day-Ausnutzung wählten Gruppen exponierte Assets aus, die geografischen oder ideologischen Kriterien entsprachen. Die Werkzeuge blieben einfach: kostenlose VNC-Viewer wie UltraVNC und TightVNC, Kommandozeilen-Tools, Metasploit-Module und in begrenzten Fällen Hersteller-Engineering-Workstation-Software. Viele angegriffene Systeme, darunter ältere speicherprogrammierbare Steuerungen und integrierte HMI-Einheiten, behielten Werkseinstellungen bei.

Die Forschungsmethodik umfasste die Kartierung von Quellen im Web, in Foren und Messaging-Plattformen, gefolgt von kontinuierlicher Sammlung mit Fokus auf internet-exponierte CPS, OT-Protokolle und kritische Sektoren, der Verifizierung von Actor-Claims durch geteilte Screenshots oder Videos sowie einer strukturierten Analyse des geopolitischen Kontexts, des Opfersektors und des technischen Vektors. Einschränkungen bestehen in der Abhängigkeit von selbstberichteten Daten, möglicher Übertreibung zur Erhöhung der Wirkung sowie dem Ausschluss nicht gemeldeter Ereignisse. Der Datensatz deckt die Aktivitäten von 2025 ab und liegt vor bestimmten späteren Entwicklungen wie dem Iran-Krieg.

Die Ergebnisse zeigen, dass die Freigabe von Fernzugriffsprotokollen und das Fehlen von Authentifizierung leicht zugängliche Einstiegspunkte schaffen. Organisationen, die CPS-Assets betreiben, sehen sich routinemäßiger Enumeration durch Akteure ausgesetzt, die schnelle, sichtbare Effekte zur Förderung ihrer Ziele suchen. Die Vorfälle unterstreichen die Bedeutung grundlegender Konfigurationsmaßnahmen – wie das Deaktivieren unnötiger Internet-Freigaben, das Ändern von Standardzugangsdaten und die Segmentierung von OT-Netzwerken – zur Begrenzung der Reichweite dieser Operationen.

Attackers aligned with Russian interests primarily directed efforts toward European Union countries and Ukraine. Italy accounted for 18 percent of such incidents, followed by France at 11 percent and Spain at 9 percent. Direct actions against Ukraine represented 8 percent, often affecting power and heating infrastructure. Groups associated with Iranian positions concentrated on targets in the United States (42 percent) and Israel (39 percent), with smaller shares in France, Greece and other listed nations.

The attacks reflect regional alignments. Russian-speaking entities focused on nations providing support in the Ukraine conflict. Iranian and Arab-aligned actors framed operations as responses to Middle East developments. A smaller set of groups outside core zones adopted Russian positions, extending reach through shared resources.

Manufacturing, water and wastewater, and power generation sectors formed the core targets, together exceeding 45 percent of cases. Manufacturing led at 19 percent, water and wastewater at 15 percent, and power at 12 percent. These sectors were selected for their visibility and potential to signal disruption in daily services.

Technical patterns stand out. In 82 percent of incidents, attackers employed virtual network computing (VNC) clients to reach internet-exposed assets. Devices often presented default or weak credentials, enabling remote control. Supervisory control and data acquisition (SCADA) and human-machine interface (HMI) systems appeared in 66 percent of compromises. Modbus protocol access occurred in a smaller subset, typically paired with VNC.

The operational sequence followed consistent stages. Actors first identified device classes exposing services such as VNC or Modbus. They then queried scanning platforms to locate internet-facing instances. Enumeration relied on open-source clients to read registers or test credentials. Access led to parameter changes that altered physical processes. Final steps included capturing evidence and publishing claims on public or closed channels to associate actions with political positions.

The approach differs from conventional targeted campaigns. Instead of sustained presence or zero-day exploitation, groups selected exposed assets matching geographic or ideological criteria. Tools remained basic: free VNC viewers, command-line utilities and, in limited cases, vendor management software. Many targeted systems, including older programmable logic controllers and integrated HMI units, retained factory configurations.

Research methodology involved source mapping across web, forums and messaging platforms, followed by continuous collection, verification of actor claims through shared screenshots or videos, and structured analysis of context, sector and vector. Limitations include reliance on self-reported data, possible exaggeration for impact, and exclusion of unreported events. The dataset covers 2025 activity and predates certain later developments.

Findings indicate that exposure of remote protocols and absence of authentication create accessible entry points. Organizations operating CPS assets face routine enumeration by actors seeking quick, visible effects to advance stated causes. The incidents underscore the role of basic configuration controls in limiting reach for these operations.