伊朗黑客3年潛伏200座水廠，PLC成了新戰(zhàn)場(chǎng)

200座水廠的控制屏上，數(shù)據(jù)正在被人悄悄改寫(xiě)。不是故障，是入侵。

周二，F(xiàn)BI、NSA、能源部和網(wǎng)絡(luò)安全局（CISA）聯(lián)合發(fā)布了一份罕見(jiàn)的警報(bào)：伊朗政府支持的黑客組織，已經(jīng)把美國(guó)的工業(yè)控制系統(tǒng)當(dāng)成了靶場(chǎng)。能源設(shè)施、水務(wù)系統(tǒng)、政府建筑——他們的目標(biāo)清單覆蓋了整個(gè)國(guó)家的命脈。

這不是諜戰(zhàn)片開(kāi)場(chǎng)，是正在發(fā)生的現(xiàn)實(shí)。

從以色列到美國(guó)：同一批人，同一套打法

警報(bào)沒(méi)有點(diǎn)名具體黑客組織，但描述的攻擊手法指向一個(gè)熟悉的名字：CyberAv3ngers，也叫Shahid Kaveh Group。這個(gè)隸屬于伊朗革命衛(wèi)隊(duì)的團(tuán)隊(duì)，2023年底就開(kāi)始了對(duì)以色列和美國(guó)目標(biāo)的輪番打擊。

他們的武器選擇很有針對(duì)性——可編程邏輯控制器（PLC，Programmable Logic Controller）。這種設(shè)備是工業(yè)設(shè)施的"神經(jīng)末梢"：水泵的啟停、閥門(mén)的開(kāi)合、壓力的調(diào)節(jié)，全靠它把數(shù)字指令翻譯成物理動(dòng)作。

2023年，CyberAv3ngers曾批量攻破以色列工業(yè)控制公司Unitronics的設(shè)備，超過(guò)100臺(tái)水廠和污水處理設(shè)施的控制器落入他們手中。現(xiàn)在，同樣的劇本在美國(guó)上演，只是規(guī)模更大、目標(biāo)更分散。

被盯上的不只是Unitronics。這次警報(bào)特別提到，羅克韋爾自動(dòng)化（Rockwell Automation）的PLC也在攻擊名單上。這家美國(guó)本土工業(yè)巨頭的產(chǎn)品遍布全球制造業(yè)和基礎(chǔ)設(shè)施，一旦被突破，連鎖反應(yīng)難以估量。

改數(shù)據(jù)比關(guān)閥門(mén)更隱蔽，也更危險(xiǎn)

黑客的具體操作手法，在聯(lián)合警報(bào)中被描述得相當(dāng)克制，但細(xì)讀之下令人不安：他們?nèi)肭諴LC后，修改的是工業(yè)控制系統(tǒng)的顯示信息。

這聽(tīng)起來(lái)不像"關(guān)閥門(mén)斷供水"那樣戲劇化，但實(shí)際危害可能更大。想象一個(gè)場(chǎng)景：操作員看著屏幕上的壓力讀數(shù)一切正常，但管道實(shí)際已經(jīng)超壓運(yùn)行；或者水位顯示安全，但水庫(kù)正在溢出。顯示與現(xiàn)實(shí)的割裂，會(huì)讓人工干預(yù)徹底失效。

警報(bào)原文寫(xiě)得直白："在少數(shù)案例中，這類(lèi)活動(dòng)已導(dǎo)致運(yùn)營(yíng)中斷和經(jīng)濟(jì)損失。"沒(méi)有透露具體損失數(shù)字，但"運(yùn)營(yíng)中斷"對(duì)水廠和能源設(shè)施而言，翻譯過(guò)來(lái)就是服務(wù)停擺、設(shè)備損毀，甚至安全風(fēng)險(xiǎn)。

羅克韋爾自動(dòng)化對(duì)《連線》雜志的回應(yīng)同樣謹(jǐn)慎。發(fā)言人稱(chēng)公司"認(rèn)真對(duì)待產(chǎn)品安全"，正與政府機(jī)構(gòu)"密切協(xié)調(diào)"，并指向了面向客戶(hù)的安全加固指南。這種措辭在網(wǎng)絡(luò)安全事件中屬于標(biāo)準(zhǔn)操作——既不確認(rèn)具體漏洞，也不否認(rèn)存在風(fēng)險(xiǎn)。

基礎(chǔ)設(shè)施攻防：一場(chǎng)不對(duì)等的游戲

PLC成為戰(zhàn)場(chǎng)，本質(zhì)上是一場(chǎng)成本極度不對(duì)等的博弈。

攻擊方的投入相對(duì)低廉：找到暴露在互聯(lián)網(wǎng)上的工業(yè)設(shè)備，利用已知漏洞或弱口令滲透，然后潛伏等待時(shí)機(jī)。防御方卻要面對(duì)一個(gè)結(jié)構(gòu)性難題——這些控制系統(tǒng)往往設(shè)計(jì)于"空氣隔離"（Air Gap）年代，默認(rèn)物理隔離等于安全，聯(lián)網(wǎng)改造時(shí)遺留了大量攻擊面。

更棘手的是更新節(jié)奏。你的手機(jī)每周推送安全補(bǔ)丁，但水廠的PLC可能運(yùn)行著十年前的固件版本。停機(jī)更新意味著服務(wù)中斷，而公共服務(wù)設(shè)施對(duì)"停機(jī)"的容忍度極低。這種運(yùn)營(yíng)壓力，讓安全補(bǔ)丁的部署永遠(yuǎn)滯后于威脅演進(jìn)。

CyberAv3ngers選擇這個(gè)時(shí)機(jī)擴(kuò)大攻擊，很難說(shuō)是巧合。特朗普政府近期多次威脅要對(duì)伊朗基礎(chǔ)設(shè)施進(jìn)行"全面摧毀"，而伊朗的回?fù)舴绞剑怯妹绹?guó)自己的基礎(chǔ)設(shè)施作為籌碼。網(wǎng)絡(luò)攻擊的妙處在于：它足夠造成實(shí)質(zhì)性傷害，又留有否認(rèn)空間，不至于立即觸發(fā)軍事升級(jí)。

警報(bào)發(fā)布的時(shí)間點(diǎn)也值得玩味。周二，正值美伊緊張局勢(shì)因核談判僵局而升溫之際。這份由四大機(jī)構(gòu)聯(lián)署的文件，既是技術(shù)警告，也是政治信號(hào)——把伊朗的網(wǎng)絡(luò)行動(dòng)公開(kāi)擺上臺(tái)面，為后續(xù)可能的反制措施鋪墊輿論。

200個(gè)目標(biāo)背后：防御的盲區(qū)在哪里

200座設(shè)施這個(gè)數(shù)字，在警報(bào)中被一帶而過(guò)，但它是理解攻擊規(guī)模的關(guān)鍵。

這不是針對(duì)單一高價(jià)值目標(biāo)的精密行動(dòng)，而是廣撒網(wǎng)式的滲透。黑客組織顯然在掃描互聯(lián)網(wǎng)上暴露的工業(yè)設(shè)備，批量嘗試入侵，然后在有價(jià)值的站點(diǎn)長(zhǎng)期駐留。這種"機(jī)會(huì)主義"策略，意味著實(shí)際受影響的基礎(chǔ)設(shè)施可能遠(yuǎn)超已確認(rèn)案例——很多受害者可能至今未察覺(jué)異常。

水務(wù)系統(tǒng)尤其脆弱。美國(guó)的水廠和污水處理設(shè)施超過(guò)15萬(wàn)家，其中絕大多數(shù)屬于小型公共事業(yè)，IT預(yù)算有限，網(wǎng)絡(luò)安全專(zhuān)業(yè)人手稀缺。聯(lián)邦層面的安全指南和資金援助，落實(shí)到這些分散的基層單位，往往隔著層層官僚障礙。

能源設(shè)施的情況稍好，但也好得有限。2021年Colonial Pipeline勒索軟件事件后，油氣管道行業(yè)被迫加強(qiáng)防御，但電力網(wǎng)絡(luò)的分布式特性意味著攻擊面依然龐大。伊朗黑客此前已對(duì)沙特阿美等目標(biāo)展示過(guò)能力，對(duì)美國(guó)電網(wǎng)的試探從未停止。

這次警報(bào)的特別之處，在于明確指出了"顯示信息篡改"這一攻擊向量。傳統(tǒng)工業(yè)安全關(guān)注阻止未經(jīng)授權(quán)的控制指令，但修改只讀數(shù)據(jù)同樣能制造混亂——操作員基于錯(cuò)誤讀數(shù)做出的決策，可能比直接關(guān)停設(shè)備更具破壞性。

羅克韋爾自動(dòng)化在回應(yīng)中強(qiáng)調(diào)的"客戶(hù)安全指南"，側(cè)面印證了一個(gè)行業(yè)現(xiàn)實(shí)：PLC的安全責(zé)任，最終大量下沉到終端用戶(hù)身上。設(shè)備廠商提供補(bǔ)丁和配置建議，但部署與否、如何部署，取決于每個(gè)水廠和能源站的運(yùn)維團(tuán)隊(duì)。在資源緊張的小型設(shè)施，這份責(zé)任往往無(wú)人真正承擔(dān)。

警報(bào)結(jié)尾處有一行字："這是一個(gè)正在發(fā)展的故事，請(qǐng)持續(xù)關(guān)注更新。"這種開(kāi)放式收尾，在官方文件中并不常見(jiàn)。它暗示著調(diào)查仍在進(jìn)行，更多細(xì)節(jié)可能陸續(xù)披露——或者，更多受害者可能剛剛發(fā)現(xiàn)自己已在名單之上。

當(dāng)你的水龍頭下次出現(xiàn)水壓不穩(wěn)，你會(huì)第一時(shí)間想到網(wǎng)絡(luò)攻擊嗎？