北京
200座水廠的控制屏上,數據正在被人悄悄改寫。不是故障,是入侵。
周二,FBI、NSA、能源部和網絡安全局(CISA)聯合發布了一份罕見的警報:伊朗政府支持的黑客組織,已經把美國的工業控制系統當成了靶場。能源設施、水務系統、政府建筑——他們的目標清單覆蓋了整個國家的命脈。
這不是諜戰片開場,是正在發生的現實。
從以色列到美國:同一批人,同一套打法
警報沒有點名具體黑客組織,但描述的攻擊手法指向一個熟悉的名字:CyberAv3ngers,也叫Shahid Kaveh Group。這個隸屬于伊朗革命衛隊的團隊,2023年底就開始了對以色列和美國目標的輪番打擊。
他們的武器選擇很有針對性——可編程邏輯控制器(PLC,Programmable Logic Controller)。這種設備是工業設施的"神經末梢":水泵的啟停、閥門的開合、壓力的調節,全靠它把數字指令翻譯成物理動作。
2023年,CyberAv3ngers曾批量攻破以色列工業控制公司Unitronics的設備,超過100臺水廠和污水處理設施的控制器落入他們手中。現在,同樣的劇本在美國上演,只是規模更大、目標更分散。
被盯上的不只是Unitronics。這次警報特別提到,羅克韋爾自動化(Rockwell Automation)的PLC也在攻擊名單上。這家美國本土工業巨頭的產品遍布全球制造業和基礎設施,一旦被突破,連鎖反應難以估量。
改數據比關閥門更隱蔽,也更危險
黑客的具體操作手法,在聯合警報中被描述得相當克制,但細讀之下令人不安:他們入侵PLC后,修改的是工業控制系統的顯示信息。
這聽起來不像"關閥門斷供水"那樣戲劇化,但實際危害可能更大。想象一個場景:操作員看著屏幕上的壓力讀數一切正常,但管道實際已經超壓運行;或者水位顯示安全,但水庫正在溢出。顯示與現實的割裂,會讓人工干預徹底失效。
警報原文寫得直白:"在少數案例中,這類活動已導致運營中斷和經濟損失。"沒有透露具體損失數字,但"運營中斷"對水廠和能源設施而言,翻譯過來就是服務停擺、設備損毀,甚至安全風險。
羅克韋爾自動化對《連線》雜志的回應同樣謹慎。發言人稱公司"認真對待產品安全",正與政府機構"密切協調",并指向了面向客戶的安全加固指南。這種措辭在網絡安全事件中屬于標準操作——既不確認具體漏洞,也不否認存在風險。
基礎設施攻防:一場不對等的游戲
PLC成為戰場,本質上是一場成本極度不對等的博弈。
攻擊方的投入相對低廉:找到暴露在互聯網上的工業設備,利用已知漏洞或弱口令滲透,然后潛伏等待時機。防御方卻要面對一個結構性難題——這些控制系統往往設計于"空氣隔離"(Air Gap)年代,默認物理隔離等于安全,聯網改造時遺留了大量攻擊面。
更棘手的是更新節奏。你的手機每周推送安全補丁,但水廠的PLC可能運行著十年前的固件版本。停機更新意味著服務中斷,而公共服務設施對"停機"的容忍度極低。這種運營壓力,讓安全補丁的部署永遠滯后于威脅演進。
CyberAv3ngers選擇這個時機擴大攻擊,很難說是巧合。特朗普政府近期多次威脅要對伊朗基礎設施進行"全面摧毀",而伊朗的回擊方式,正是用美國自己的基礎設施作為籌碼。網絡攻擊的妙處在于:它足夠造成實質性傷害,又留有否認空間,不至于立即觸發軍事升級。
警報發布的時間點也值得玩味。周二,正值美伊緊張局勢因核談判僵局而升溫之際。這份由四大機構聯署的文件,既是技術警告,也是政治信號——把伊朗的網絡行動公開擺上臺面,為后續可能的反制措施鋪墊輿論。
200個目標背后:防御的盲區在哪里
200座設施這個數字,在警報中被一帶而過,但它是理解攻擊規模的關鍵。
這不是針對單一高價值目標的精密行動,而是廣撒網式的滲透。黑客組織顯然在掃描互聯網上暴露的工業設備,批量嘗試入侵,然后在有價值的站點長期駐留。這種"機會主義"策略,意味著實際受影響的基礎設施可能遠超已確認案例——很多受害者可能至今未察覺異常。
水務系統尤其脆弱。美國的水廠和污水處理設施超過15萬家,其中絕大多數屬于小型公共事業,IT預算有限,網絡安全專業人手稀缺。聯邦層面的安全指南和資金援助,落實到這些分散的基層單位,往往隔著層層官僚障礙。
能源設施的情況稍好,但也好得有限。2021年Colonial Pipeline勒索軟件事件后,油氣管道行業被迫加強防御,但電力網絡的分布式特性意味著攻擊面依然龐大。伊朗黑客此前已對沙特阿美等目標展示過能力,對美國電網的試探從未停止。
這次警報的特別之處,在于明確指出了"顯示信息篡改"這一攻擊向量。傳統工業安全關注阻止未經授權的控制指令,但修改只讀數據同樣能制造混亂——操作員基于錯誤讀數做出的決策,可能比直接關停設備更具破壞性。
羅克韋爾自動化在回應中強調的"客戶安全指南",側面印證了一個行業現實:PLC的安全責任,最終大量下沉到終端用戶身上。設備廠商提供補丁和配置建議,但部署與否、如何部署,取決于每個水廠和能源站的運維團隊。在資源緊張的小型設施,這份責任往往無人真正承擔。
警報結尾處有一行字:"這是一個正在發展的故事,請持續關注更新。"這種開放式收尾,在官方文件中并不常見。它暗示著調查仍在進行,更多細節可能陸續披露——或者,更多受害者可能剛剛發現自己已在名單之上。
當你的水龍頭下次出現水壓不穩,你會第一時間想到網絡攻擊嗎?
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
