伊朗关联黑客攻击美国关键基础设施,导致多处运营中断
随着美国与以色列战事升级,针对美国工业场所的网络攻击也愈发频繁。
美国六大政府机构发出警告:受伊朗政府指使的黑客正在破坏美国多处关键基础设施的运营,此举大概率是对美伊持续冲突的报复。
美国联邦调查局(FBI)、网络安全与基础设施安全局(CISA)、国家安全局(NSA)、环境保护署(EPA)、能源部(DOE)及美国网络司令部于周二联合发布紧急警示,称某高级持续性威胁(APT)组织正将可编程逻辑控制器(PLC) 作为攻击目标。这类设备大小与烤面包机相近,广泛部署在工厂、污水处理厂、炼油厂等各类工业场景,多位于偏远区域,是自动化计算机与物理机械设备之间的核心交互接口。
运营中断与经济损失
公告明确:自 2026 年 3 月起,相关机构通过与受害机构协作确认,一支伊朗关联 APT 组织已成功破坏多款 PLC 的正常运行。这些 PLC 覆盖美国多个关键基础设施领域,包括政府服务与设施、污水处理系统、能源行业,应用于各类工业自动化流程。部分受害机构已出现运营中断、经济损失。
遭入侵或被锁定的 PLC 主要来自罗克韦尔自动化 / 艾伦 - 布拉德利(Rockwell Automation/Allen‑Bradley)。安全厂商 Censys 周三表示,其全网扫描发现5219 台该品牌设备直接暴露在公网,其中75% 位于美国境内,且多部署在设备所在的偏远站点。黑客用于攻击的核心设施是一台运行罗克韦尔工具链的多网卡 Windows 工程工作站。
该公司指出:本轮攻击直接通过厂商正版软件(罗克韦尔 Studio 5000 Logix Designer)访问公网暴露的 PLC,攻击者无需利用零日漏洞,即可操作工程文件、篡改人机界面 / 监控系统(HMI/SCADA)显示数据;已确认受攻击设备系列包括 CompactLogix、Micro850。
该工作站通过非标准 TCP 端口 43589的远程桌面协议(RDP)连接 PLC,使用通用名为 DESKTOP‑BOE5MUC 的自签名证书,主机还开放了完整 Windows 协议栈(DCERPC/135、MSMQ、NetBIOS)。
周二的公告还显示,黑客同时在探测 Modbus、S7 等其他工业协议,意味着其他厂商的 PLC 也在攻击范围内。
受伊朗伊斯兰革命卫队指使的黑客此前就曾袭击美国工业场所。2023 年,名为 “CyberAg3ngers” 的组织曾瘫痪美国境内 PLC 与人机界面,导致多个关键基础设施领域至少 75 台设备被入侵。
3 月中旬,美以对伊朗发动空袭次日,跨国医疗器械厂商史赛克(Stryker)证实遭网络攻击,核心基础设施瘫痪数日。研究人员确认,此次攻击由亲伊朗黑客组织汉达拉(Handala) 实施,该组织已在社交平台认领此事。汉达拉还于上月入侵了 FBI 局长卡什・帕特尔的私人邮箱。安全厂商 Flashpoint 在邮件中透露,亲伊朗代理组织还成功对网飞、Pinterest 等主流平台及澳大利亚政府门户网站发动 DDoS 攻击。
周二与周三发布的公告均披露了攻击者基础设施的 IP 地址等标识信息,并提供了 PLC 加固防护指南。随着美伊冲突持续,此类网络攻击大概率会进一步升级。
加入微信
获取电子行业最新资讯
搜索微信公众号:EEPW
或用微信扫描左侧二维码