美国国土安全部上周二发了一份联合警报,FBI、NSA、能源部和网络安全局四家联名。文件不长,但指向很明确:伊朗政府支持的黑客正在攻击美国本土的工业控制系统,能源、水务、政府设施全在射程内。目标是一种叫PLC(可编程逻辑控制器)的设备——工厂里的"数字开关",负责把电脑指令翻译成机械动作。
这不是偷数据,是搞破坏。
攻击者的手法很直接:黑进PLC,篡改显示屏上的信息。操作员看着正常读数,实际设备已经在异常运行。警报里写了后果——"部分案例已造成运营中断和经济损失"。没提具体数字,但用了"disruptive and costly"(破坏性强、代价高)这种措辞,在官方文件里算很重的话。
从以色列到美国,同一拨人的两年轨迹
美国政府没点名具体黑客组织,但说了攻击特征和CyberAv3ngers(网络复仇者)高度吻合。这个组织也叫Shahid Kaveh Group,据信隶属伊朗伊斯兰革命卫队。他们的行动时间线很清晰:
2023年底开始活跃,第一波攻击瞄准以色列目标。2024年转向美国,专攻水务系统,尤其喜欢Unitronics公司的设备——一种在水处理和废水处理厂广泛使用的控制器。当时他们黑掉了超过100台设备,把设备名称改成反以色列口号,还留了恐吓信息。
现在的攻击升级了。Unitronics换成Rockwell Automation(罗克韦尔自动化),这是工业自动化领域的头部厂商,美国本土制造业的常客。攻击目的也从"刷存在感"变成"真搞破坏"——篡改显示数据,制造误判,让操作员在错误信息下做决策。
罗克韦尔自动化的回应很标准:重视安全、配合政府、已发布客户指南。但有个细节值得玩味——他们没提自家产品有没有漏洞,只说"协调"和"指导"。这种措辞通常意味着漏洞修补要么还在进行,要么涉及硬件层面的硬骨头。
PLC为什么成了软肋
PLC这东西,工业设计逻辑是"能用二十年不坏"。稳定性优先,安全设计是后来打补丁。很多设备联网是近几年的事,为了远程监控方便,但认证机制、加密协议都是上一代标准。
更麻烦的是部署场景。一座水处理厂可能有几十台PLC,品牌混杂,年代参差。有些连厂商自己都停止支持了,还在一线运转。更新固件?得停机。换设备?预算和工期都是问题。
伊朗黑客选这个目标,相当于找到了美国基础设施的"共同分母"——不管设施多重要,底层控制设备就那几家供应商,攻击方法可以复用。
警报里提到的"政府设施"没具体说明,但能源和水务的组合很有指向性。这两类设施有个共同点:物理破坏的连锁反应大。电厂停机影响电网,水厂出问题影响公共卫生,都是能逼政府谈判的筹码。
时间线上的微妙重叠
这份警报发布的时机,很难不让人多想。同一天,特朗普正在社交媒体上威胁"彻底摧毁伊朗的基础设施",作为对伊朗导弹袭击的回应。美伊之间的军事 escalation(升级)和网络安全攻击,形成了某种镜像——你炸我的设施,我黑你的系统。
但网络攻击有个特点: attribution(归因)困难,plausible deniability(合理推诿)空间大。伊朗政府不会认领CyberAv3ngers,美国政府也只能说"affiliated with"(有关联),而非直接指控。这种模糊地带,正是国家级黑客行动的舒适区。
2023年底到2025年初,两年时间里,同一组织从刷标语进化到搞破坏。这个速度不算快,但很稳。每次攻击都在测试边界:能黑进多少设备?能造成多大影响?被发现后对方怎么反应?
美国政府的应对也在升级。2024年的Unitronics事件后,CISA发过多份警报,现在变成四部门联合。但防御方的结构性劣势没变——关键基础设施分散在私营部门,联邦政府只能建议不能强制,补丁速度永远追不上漏洞利用。
Rockwell Automation的客户指南里写了什么?警报没细说,但这类文档通常包括:改默认密码、断外网连接、分段网络、监控异常流量。都是基本功,但基本功恰恰是工业控制系统的短板——很多设备部署时就没考虑过这些。
警报结尾留了句话:"This is a developing story"(事态发展中)。确实在发展。军事层面的对抗和网络层面的渗透,哪个会先触及对方的红线?当PLC的显示屏开始撒谎,操作员还能相信什么?
热门跟贴