伊朗黑客盯上美國200座水廠，PLC成新戰場

美國國土安全部上周二發了一份聯合警報，FBI、NSA、能源部和網絡安全局四家聯名。文件不長，但指向很明確：伊朗政府支持的黑客正在攻擊美國本土的工業控制系統，能源、水務、政府設施全在射程內。目標是一種叫PLC（可編程邏輯控制器）的設備——工廠里的"數字開關"，負責把電腦指令翻譯成機械動作。

這不是偷數據，是搞破壞。

攻擊者的手法很直接：黑進PLC，篡改顯示屏上的信息。操作員看著正常讀數，實際設備已經在異常運行。警報里寫了后果——"部分案例已造成運營中斷和經濟損失"。沒提具體數字，但用了"disruptive and costly"（破壞性強、代價高）這種措辭，在官方文件里算很重的話。

從以色列到美國，同一撥人的兩年軌跡

美國政府沒點名具體黑客組織，但說了攻擊特征和CyberAv3ngers（網絡復仇者）高度吻合。這個組織也叫Shahid Kaveh Group，據信隸屬伊朗伊斯蘭革命衛隊。他們的行動時間線很清晰：

2023年底開始活躍，第一波攻擊瞄準以色列目標。2024年轉向美國，專攻水務系統，尤其喜歡Unitronics公司的設備——一種在水處理和廢水處理廠廣泛使用的控制器。當時他們黑掉了超過100臺設備，把設備名稱改成反以色列口號，還留了恐嚇信息。

現在的攻擊升級了。Unitronics換成Rockwell Automation（羅克韋爾自動化），這是工業自動化領域的頭部廠商，美國本土制造業的常客。攻擊目的也從"刷存在感"變成"真搞破壞"——篡改顯示數據，制造誤判，讓操作員在錯誤信息下做決策。

羅克韋爾自動化的回應很標準：重視安全、配合政府、已發布客戶指南。但有個細節值得玩味——他們沒提自家產品有沒有漏洞，只說"協調"和"指導"。這種措辭通常意味著漏洞修補要么還在進行，要么涉及硬件層面的硬骨頭。

PLC為什么成了軟肋

PLC這東西，工業設計邏輯是"能用二十年不壞"。穩定性優先，安全設計是后來打補丁。很多設備聯網是近幾年的事，為了遠程監控方便，但認證機制、加密協議都是上一代標準。

更麻煩的是部署場景。一座水處理廠可能有幾十臺PLC，品牌混雜，年代參差。有些連廠商自己都停止支持了，還在一線運轉。更新固件？得停機。換設備？預算和工期都是問題。

伊朗黑客選這個目標，相當于找到了美國基礎設施的"共同分母"——不管設施多重要，底層控制設備就那幾家供應商，攻擊方法可以復用。

警報里提到的"政府設施"沒具體說明，但能源和水務的組合很有指向性。這兩類設施有個共同點：物理破壞的連鎖反應大。電廠停機影響電網，水廠出問題影響公共衛生，都是能逼政府談判的籌碼。

時間線上的微妙重疊

這份警報發布的時機，很難不讓人多想。同一天，特朗普正在社交媒體上威脅"徹底摧毀伊朗的基礎設施"，作為對伊朗導彈襲擊的回應。美伊之間的軍事 escalation（升級）和網絡安全攻擊，形成了某種鏡像——你炸我的設施，我黑你的系統。

但網絡攻擊有個特點： attribution（歸因）困難，plausible deniability（合理推諉）空間大。伊朗政府不會認領CyberAv3ngers，美國政府也只能說"affiliated with"（有關聯），而非直接指控。這種模糊地帶，正是國家級黑客行動的舒適區。

2023年底到2025年初，兩年時間里，同一組織從刷標語進化到搞破壞。這個速度不算快，但很穩。每次攻擊都在測試邊界：能黑進多少設備？能造成多大影響？被發現后對方怎么反應？

美國政府的應對也在升級。2024年的Unitronics事件后，CISA發過多份警報，現在變成四部門聯合。但防御方的結構性劣勢沒變——關鍵基礎設施分散在私營部門，聯邦政府只能建議不能強制，補丁速度永遠追不上漏洞利用。

Rockwell Automation的客戶指南里寫了什么？警報沒細說，但這類文檔通常包括：改默認密碼、斷外網連接、分段網絡、監控異常流量。都是基本功，但基本功恰恰是工業控制系統的短板——很多設備部署時就沒考慮過這些。

警報結尾留了句話："This is a developing story"（事態發展中）。確實在發展。軍事層面的對抗和網絡層面的滲透，哪個會先觸及對方的紅線？當PLC的顯示屏開始撒謊，操作員還能相信什么？