美國4大機(jī)構(gòu)同時(shí)發(fā)警告：伊朗黑客已摸進(jìn)電網(wǎng)水廠

4月8日，F(xiàn)BI、NSA、CISA、能源部四家機(jī)構(gòu)聯(lián)合發(fā)了一份文件。這種陣容通常意味著一件事：有人真的搞出麻煩了。

文件說的是伊朗政府支持的黑客正在攻擊美國關(guān)鍵基礎(chǔ)設(shè)施。不是偷數(shù)據(jù)，不是搞勒索，是奔著"造成破壞性影響"去的。目標(biāo)包括供水排水系統(tǒng)、能源設(shè)施、地方政府——全是老百姓每天睜眼就要用的東西。

攻擊手法很老派，但有效

黑客盯上的是兩類設(shè)備：可編程邏輯控制器（PLC）和數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）。這兩樣?xùn)|西是工業(yè)設(shè)施的神經(jīng)中樞，控制水泵怎么轉(zhuǎn)、電網(wǎng)怎么調(diào)。 agencies說，黑客已經(jīng)能篡改設(shè)備顯示的信息，還能動項(xiàng)目文件——就是存著設(shè)備怎么運(yùn)行的核心配置。

想象一下：你家的智能電表顯示還有電，實(shí)際上已經(jīng)被遠(yuǎn)程斷電。或者水處理廠的操作員看著屏幕上的"水質(zhì)正常"，實(shí)際上消毒流程早被跳過。這種攻擊不圖錢，圖的是混亂。

文件明確說了，這些攻擊已經(jīng)造成"運(yùn)營中斷和財(cái)務(wù)損失"。但沒點(diǎn)名具體哪些設(shè)施中招。這種模糊處理通常是還在查，或者查到了不能說。

戰(zhàn)術(shù)升級背后的時(shí)間線

這次警告的發(fā)布時(shí)間很微妙。4月8日當(dāng)天，特朗普在社交媒體上發(fā)了一句話："如果伊朗今晚不簽協(xié)議開放霍爾木茲海峽，整個文明將在今夜滅亡。"

霍爾木茲海峽控制著全球約五分之一的海運(yùn)石油。特朗普給的 deadline 是"今晚"。

agencies把這次黑客行動定性為"戰(zhàn)術(shù)的顯著升級"，直接關(guān)聯(lián)到2月28日開始的以伊沖突。那天以色列空襲殺死了伊朗領(lǐng)導(dǎo)人，美國隨后介入。三個月來，一個叫 Handala 的伊朗黑客組織已經(jīng)搞了幾件大事：

3月，美國醫(yī)療科技巨頭 Stryker 被黑。黑客用這家公司自己的安全工具，遠(yuǎn)程抹掉了數(shù)千臺員工設(shè)備。不是加密勒索，是直接清空。

4月初，F(xiàn)BI 局長 Kash Patel 的私人郵箱部分內(nèi)容被泄露。FBI 把賬算在 Handala 頭上。

現(xiàn)在輪到關(guān)鍵基礎(chǔ)設(shè)施。從企業(yè) IT 系統(tǒng)到工業(yè)控制系統(tǒng)，攻擊目標(biāo)在往下沉。這是典型的報(bào)復(fù)邏輯：正面戰(zhàn)場打不過，就在對方家里點(diǎn)火。

SCADA 系統(tǒng)的尷尬現(xiàn)實(shí)

SCADA 和 PLC 這類工控設(shè)備有個共同特點(diǎn)：活得久。

很多設(shè)施用的系統(tǒng)還是二十年前裝的，設(shè)計(jì)時(shí)根本沒考慮聯(lián)網(wǎng)，更沒考慮遠(yuǎn)程攻擊。后來為了"智能化"接進(jìn)互聯(lián)網(wǎng)，相當(dāng)于給老房子裝了智能門鎖，但墻還是木頭的。

agencies 提到黑客能"操縱設(shè)備顯示的信息"。這招很陰——不是直接破壞，而是讓操作員看錯數(shù)據(jù)。等發(fā)現(xiàn)的時(shí)候，物理損害可能已經(jīng)發(fā)生。2010 年震網(wǎng)病毒就是這么搞伊朗核設(shè)施的，現(xiàn)在伊朗把這套學(xué)去了。

更麻煩的是修復(fù)難度。企業(yè)被勒索了可以重裝系統(tǒng)，工控設(shè)備停了可能影響幾萬人用水用電。很多設(shè)施連完整的設(shè)備清單都沒有， patching 周期以月甚至年計(jì)算。

Handala 是誰

公開信息不多。這個名字取自巴勒斯坦民間象征——一個被驅(qū)逐的孩子，永遠(yuǎn)背對觀眾，雙手交叉在身后。選這個名字本身就有政治表態(tài)。

從行動風(fēng)格看，Handala 不像傳統(tǒng)情報(bào)機(jī)構(gòu)那樣追求長期潛伏。攻擊高調(diào)、破壞性明顯、樂于認(rèn)領(lǐng)——更接近"網(wǎng)絡(luò)民兵"的定位。這種組織的好處是成本低、難追溯、政治姿態(tài)鮮明；壞處是技術(shù)深度可能有限，但對付老舊的工控系統(tǒng)已經(jīng)夠用。

agencies 的聯(lián)合文件里有個細(xì)節(jié)：明確說是"Iranian government hackers"。這不是民間愛好者能有的資源，說明 Handala 要么直接受控于伊朗政府，要么至少是默許和配合的關(guān)系。

美國的應(yīng)對困境

四家機(jī)構(gòu)聯(lián)合發(fā)警告，說明這事跨了多個管轄范圍。FBI 管國內(nèi)執(zhí)法，NSA 管信號情報(bào)，CISA 管基礎(chǔ)設(shè)施安全，能源部管具體行業(yè)。能湊一桌開會，本身就說明攻擊面夠廣。

但警告歸警告，實(shí)際能做的有限。關(guān)鍵基礎(chǔ)設(shè)施大部分是私營企業(yè)在運(yùn)營，政府只能建議不能命令。CISA 年年發(fā)補(bǔ)丁指南，年年有設(shè)施不打補(bǔ)丁——不是不想，是打了怕系統(tǒng)崩潰。

特朗普的威脅和黑客攻擊在同一天出現(xiàn)，很難說是巧合還是設(shè)計(jì)。但效果上形成了某種呼應(yīng)：一邊是軍事威脅，一邊是網(wǎng)絡(luò)騷擾。伊朗在展示，它有多種手段可以讓美國不舒服。

文件里沒說的是，美國自己的網(wǎng)絡(luò)攻擊能力如何。Stuxnet 之后，大家都默認(rèn)美國有這手牌，但打不打、什么時(shí)候打，是另一回事。現(xiàn)在的局面有點(diǎn)像兩個人都拿著槍，但一個在打?qū)Ψ降耐龋粋€在考慮要不要開槍。

對普通人的影響

目前為止，還沒有大規(guī)模停水停電的報(bào)道。但 agencies 的措辭是"已經(jīng)造成運(yùn)營中斷"，說明小范圍的事故已經(jīng)發(fā)生，只是沒公開。

如果你在美國，尤其是能源、水務(wù)、醫(yī)療行業(yè)工作，最近可能會收到內(nèi)部安全提醒。內(nèi)容大概是檢查 SCADA 系統(tǒng)的訪問日志、改密碼、打補(bǔ)丁——都是老生常談，但老生常談往往是因?yàn)樽霾坏健?/p>

更長期的疑問是：這種攻擊會不會成為新常態(tài)？國家之間的網(wǎng)絡(luò)戰(zhàn)以前主要是偷情報(bào)，現(xiàn)在轉(zhuǎn)向破壞基礎(chǔ)設(shè)施，門檻在降低，后果在升級。Handala 這次用的技術(shù)并不新，但選的目標(biāo)和時(shí)機(jī)很準(zhǔn)。

agencies 的文件最后照例列了一堆緩解措施：網(wǎng)絡(luò)分段、多因素認(rèn)證、及時(shí)更新。都是對的，也都是工控行業(yè)喊了十年的話。真正的問題是，喊了十年為什么還沒做到？

答案可能是：安全成本和運(yùn)營成本的博弈里，安全很少贏。直到出事那天。

4月8日的警告會改變什么嗎？短期內(nèi)，一些設(shè)施會緊急排查。中期看，如果沖突繼續(xù)升級，類似的攻擊只會更多。長期呢——那取決于 2 月 28 日開始的這場戰(zhàn)爭，到底要打到什么程度。

霍爾木茲海峽的 deadline 已經(jīng)過了。特朗普說的"整個文明滅亡"沒有發(fā)生，但 Handala 的鼠標(biāo)還在點(diǎn)擊。下一次警告會不會列出具體設(shè)施的名字？