2026年4月7日,美国六大机构——FBI、CISA、NSA、能源部、环保署、网络司令部——联合发布了一份编号AA26-097A的警报。这份文件没有绕弯子,直接点名一个代号CyberAv3ngers的组织,确认其正在对美国水务系统、能源设施和政府部门的可编程逻辑控制器(PLC,工业自动化核心设备)进行主动攻击。
这不是演习。警报明确记录了"实际运营中断和财务损失"。
六大机构同时出马,在网络安全领域相当于六大门派围攻光明顶——除非对手真的值得。更值得玩味的是,这份警报把CyberAv3ngers的幕后主使直接钉死:伊朗伊斯兰革命卫队网络电子司令部(IRGC-CEC)。一个从2020年就开始活动的组织,用了整整六年时间,从制造噪音的"键盘侠"蜕变成能掐断城市供水的国家级威胁。
第一阶段:用默认密码敲开75扇门
2023年底,CyberAv3ngers完成了一次"教科书级"的低成本渗透。他们的目标是以色列公司Unitronics生产的Vision系列PLC,全球广泛用于水务、制造和楼宇自动化。攻击手法简单到近乎侮辱:利用出厂默认密码。
这些设备被直接暴露在互联网上,没有任何认证网关保护。Tenable研究人员追踪发现,该组织至少攻陷了75台分布于美国、英国和爱尔兰的PLC。
宾夕法尼亚州Aliquippa市水务局成了最显眼的受害者。当地居民的供水系统控制设备,就这样赤裸裸地挂在公网上,像一扇没锁的后门。爱尔兰的另一起攻击更直接——居民连续数天没有自来水可用。
「这不是技术对抗,这是配置管理的失败。」一位工业控制系统安全研究员如此评价。但CyberAv3ngers的聪明之处在于,他们精准选择了防御最薄弱的环节下手,用最少的资源制造最大的舆论冲击。
这次行动也暴露了关键基础设施的普遍软肋:大量PLC部署时优先考虑功能实现,而非安全加固。出厂密码从不修改、设备直连公网、缺乏网络分段——这些"低级错误"在工业现场比比皆是。
第二阶段:IOCONTROL,为Linux工控设备定制的"瑞士军刀"
到2024年中,CyberAv3ngers拿出了新东西:IOCONTROL。这是一款针对Linux物联网(IoT)和运营技术(OT)环境定制的恶意软件平台,标志着该组织从"借现成的工具"转向"自己造武器"。
IOCONTROL的技术架构值得细品。它针对的是工业场景中大量运行的嵌入式Linux系统——这些设备往往计算资源有限、安全更新困难,却承担着关键的控制功能。传统Windows恶意软件在这里寸步难行,而IOCONTROL填补了这片空白。
恶意软件的功能设计透露出明确的工控攻击意图:进程隐藏、持久化驻留、命令与控制通信、以及针对特定工业协议的交互能力。
更关键的是,IOCONTROL的出现说明CyberAv3ngers已经建立了完整的恶意软件开发生命周期。从需求分析(针对Linux/OT环境)、编码实现、测试验证到实战部署,这套流程需要稳定的团队、持续的投入和明确的目标导向——绝非临时拼凑的hacktivist(黑客行动主义者)所能为。
美国财政部在2024年2月对六名IRGC-CEC官员实施制裁,国务院更是开出1000万美元悬赏征集该组织情报。但制裁和悬赏的威慑效果有限:2026年1月,一个新的Telegram频道"Cyber4vengers"悄然上线,接替被关闭的旧频道。
打地鼠游戏开始了。但地鼠越打越多。
第三阶段:瞄准Rockwell,利用9.8分漏洞的"无补丁攻击"
2026年初,CyberAv3ngers的攻击目标再次升级:罗克韦尔自动化(Rockwell Automation)的Logix系列控制器。这是工业自动化领域的顶级品牌,广泛应用于制造业、能源、交通等关键行业。
他们选择的武器是CVE-2021-22681,一个CVSS评分9.8(满分10)的认证绕过漏洞。该漏洞的核心缺陷在于加密密钥管理:攻击者只需截获单个密钥,即可无需有效凭证直接连接受影响的PLC。
罗克韦尔自动化已经确认,该漏洞没有软件补丁。受影响的控制器家族包括CompactLogix、ControlLogix、GuardLogix、DriveLogix和SoftLogix——基本覆盖了其PLC产品线的主力型号。
这意味着什么?大量已部署的设备将长期处于"无法修复"的脆弱状态。
工业控制系统的补丁困境在此暴露无遗。PLC往往承担连续生产任务,停机窗口以分钟计算;固件更新可能引入兼容性风险,需要完整的工厂验收测试;许多老旧设备早已超出厂商支持周期,却仍在关键岗位服役。CVE-2021-22681的"无补丁"状态,不过是这个系统性问题的极端体现。
CyberAv3ngers选择此时利用该漏洞,显示出对目标行业运维节奏的精准把握。他们不需要最先进的零日漏洞,只需要找到"知道存在但修不了"的老伤口,反复撕扯。
从单一组织到"病毒式扩散"的攻击方法
2026年4月联合警报中最容易被低估的一条信息:CyberAv3ngers的工控系统攻击技术,已经扩散到约60个关联的黑客行动主义组织。
这不是简单的"师徒传承"或"代码共享"。在黑客地下经济中,攻击方法(TTPs,战术、技术和程序)的扩散往往比恶意软件本身更危险。一个组织被取缔,其技术细节可能通过论坛、聊天群组、甚至公开的入侵分析报告传播,被其他行动者快速吸收改造。
IOCONTROL的模块化设计、针对PLC的特定利用链、以及对OT环境的深度理解——这些知识资产正在"去中心化"。
微软将该组织追踪为Storm-0784,Dragos称其为Bauxite,Mandiant标记为UNC5691。多重命名本身就说明,不同情报来源从各自视角捕捉到了该组织的不同侧面。而当60个组织都掌握了类似的攻击能力时,单一组织的取缔几乎失去意义。
伊朗的国家背景在这里呈现出复杂的双面性。一方面,IRGC-CEC的正式关联意味着稳定的资源投入、长期的人员培养和明确的战略方向;另一方面,这种"国家赞助"模式也导致了技术外溢——受训人员流动、工具被关联组织借用、甚至故意扩散以制造归因困难。
六大机构的联合警报,某种程度上是对这种"不可控扩散"的正式承认。
水务系统成为重点目标并非偶然。相比电网的严格监管和能源行业的安全投入,美国水务部门呈现高度碎片化特征:约5万个公共供水系统中,绝大多数为小型地方运营,IT安全预算有限,技术能力参差不齐。攻击水务系统既能制造公众恐慌,又不需要面对最坚固的防御——典型的"软目标"选择。
Aliquippa事件的象征意义正在于此:一个宾夕法尼亚州的小城水务局,成了国家级网络对抗的前线。这种"不对称"本身就是网络战的设计特征——用最低层级的目标,撬动最高层级的关注。
2024年的制裁和悬赏未能阻止Cyber4vengers频道的出现。2026年的联合警报能否改变游戏规则?一个值得注意的细节是,警报发布时,该组织的技术扩散已经完成。这不是预防性警告,而是对既成事实的确认。
当60个组织都学会了如何找到暴露的PLC、如何利用无补丁漏洞、如何定制针对Linux工控设备的恶意软件,防御方的挑战从"追踪一个组织"变成了"加固整个攻击面"。而攻击面,是数百万台部署在全球、多数从未经过安全审计的工业控制器。
下一个被断水的城市,会是在哪里被发现第一个暴露的PLC?
热门跟贴