打开网易新闻 查看精彩图片

200座水厂的控制屏上,数据正在被人悄悄改写。不是故障,是入侵。

周二,FBI、NSA、能源部和网络安全局(CISA)联合发布了一份罕见的警报:伊朗政府支持的黑客组织,已经把美国的工业控制系统当成了靶场。能源设施、水务系统、政府建筑——他们的目标清单覆盖了整个国家的命脉。

这不是谍战片开场,是正在发生的现实。

从以色列到美国:同一批人,同一套打法

从以色列到美国:同一批人,同一套打法

警报没有点名具体黑客组织,但描述的攻击手法指向一个熟悉的名字:CyberAv3ngers,也叫Shahid Kaveh Group。这个隶属于伊朗革命卫队的团队,2023年底就开始了对以色列和美国目标的轮番打击。

他们的武器选择很有针对性——可编程逻辑控制器(PLC,Programmable Logic Controller)。这种设备是工业设施的"神经末梢":水泵的启停、阀门的开合、压力的调节,全靠它把数字指令翻译成物理动作。

2023年,CyberAv3ngers曾批量攻破以色列工业控制公司Unitronics的设备,超过100台水厂和污水处理设施的控制器落入他们手中。现在,同样的剧本在美国上演,只是规模更大、目标更分散。

被盯上的不只是Unitronics。这次警报特别提到,罗克韦尔自动化(Rockwell Automation)的PLC也在攻击名单上。这家美国本土工业巨头的产品遍布全球制造业和基础设施,一旦被突破,连锁反应难以估量。

改数据比关阀门更隐蔽,也更危险

改数据比关阀门更隐蔽,也更危险

黑客的具体操作手法,在联合警报中被描述得相当克制,但细读之下令人不安:他们入侵PLC后,修改的是工业控制系统的显示信息。

这听起来不像"关阀门断供水"那样戏剧化,但实际危害可能更大。想象一个场景:操作员看着屏幕上的压力读数一切正常,但管道实际已经超压运行;或者水位显示安全,但水库正在溢出。显示与现实的割裂,会让人工干预彻底失效。

警报原文写得直白:"在少数案例中,这类活动已导致运营中断和经济损失。"没有透露具体损失数字,但"运营中断"对水厂和能源设施而言,翻译过来就是服务停摆、设备损毁,甚至安全风险。

罗克韦尔自动化对《连线》杂志的回应同样谨慎。发言人称公司"认真对待产品安全",正与政府机构"密切协调",并指向了面向客户的安全加固指南。这种措辞在网络安全事件中属于标准操作——既不确认具体漏洞,也不否认存在风险。

基础设施攻防:一场不对等的游戏

基础设施攻防:一场不对等的游戏

PLC成为战场,本质上是一场成本极度不对等的博弈。

攻击方的投入相对低廉:找到暴露在互联网上的工业设备,利用已知漏洞或弱口令渗透,然后潜伏等待时机。防御方却要面对一个结构性难题——这些控制系统往往设计于"空气隔离"(Air Gap)年代,默认物理隔离等于安全,联网改造时遗留了大量攻击面。

更棘手的是更新节奏。你的手机每周推送安全补丁,但水厂的PLC可能运行着十年前的固件版本。停机更新意味着服务中断,而公共服务设施对"停机"的容忍度极低。这种运营压力,让安全补丁的部署永远滞后于威胁演进。

CyberAv3ngers选择这个时机扩大攻击,很难说是巧合。特朗普政府近期多次威胁要对伊朗基础设施进行"全面摧毁",而伊朗的回击方式,正是用美国自己的基础设施作为筹码。网络攻击的妙处在于:它足够造成实质性伤害,又留有否认空间,不至于立即触发军事升级。

警报发布的时间点也值得玩味。周二,正值美伊紧张局势因核谈判僵局而升温之际。这份由四大机构联署的文件,既是技术警告,也是政治信号——把伊朗的网络行动公开摆上台面,为后续可能的反制措施铺垫舆论。

200个目标背后:防御的盲区在哪里

200个目标背后:防御的盲区在哪里

200座设施这个数字,在警报中被一带而过,但它是理解攻击规模的关键。

这不是针对单一高价值目标的精密行动,而是广撒网式的渗透。黑客组织显然在扫描互联网上暴露的工业设备,批量尝试入侵,然后在有价值的站点长期驻留。这种"机会主义"策略,意味着实际受影响的基础设施可能远超已确认案例——很多受害者可能至今未察觉异常。

水务系统尤其脆弱。美国的水厂和污水处理设施超过15万家,其中绝大多数属于小型公共事业,IT预算有限,网络安全专业人手稀缺。联邦层面的安全指南和资金援助,落实到这些分散的基层单位,往往隔着层层官僚障碍。

能源设施的情况稍好,但也好得有限。2021年Colonial Pipeline勒索软件事件后,油气管道行业被迫加强防御,但电力网络的分布式特性意味着攻击面依然庞大。伊朗黑客此前已对沙特阿美等目标展示过能力,对美国电网的试探从未停止。

这次警报的特别之处,在于明确指出了"显示信息篡改"这一攻击向量。传统工业安全关注阻止未经授权的控制指令,但修改只读数据同样能制造混乱——操作员基于错误读数做出的决策,可能比直接关停设备更具破坏性。

罗克韦尔自动化在回应中强调的"客户安全指南",侧面印证了一个行业现实:PLC的安全责任,最终大量下沉到终端用户身上。设备厂商提供补丁和配置建议,但部署与否、如何部署,取决于每个水厂和能源站的运维团队。在资源紧张的小型设施,这份责任往往无人真正承担。

警报结尾处有一行字:"这是一个正在发展的故事,请持续关注更新。"这种开放式收尾,在官方文件中并不常见。它暗示着调查仍在进行,更多细节可能陆续披露——或者,更多受害者可能刚刚发现自己已在名单之上。

当你的水龙头下次出现水压不稳,你会第一时间想到网络攻击吗?