伊朗黑客盯上美國200座水廠，PLC成新戰(zhàn)場

美國國土安全部上周二發(fā)了一份聯(lián)合警報(bào)，F(xiàn)BI、NSA、能源部和網(wǎng)絡(luò)安全局四家聯(lián)名。文件不長，但指向很明確：伊朗政府支持的黑客正在攻擊美國本土的工業(yè)控制系統(tǒng)，能源、水務(wù)、政府設(shè)施全在射程內(nèi)。目標(biāo)是一種叫PLC（可編程邏輯控制器）的設(shè)備——工廠里的"數(shù)字開關(guān)"，負(fù)責(zé)把電腦指令翻譯成機(jī)械動作。

這不是偷數(shù)據(jù)，是搞破壞。

攻擊者的手法很直接：黑進(jìn)PLC，篡改顯示屏上的信息。操作員看著正常讀數(shù)，實(shí)際設(shè)備已經(jīng)在異常運(yùn)行。警報(bào)里寫了后果——"部分案例已造成運(yùn)營中斷和經(jīng)濟(jì)損失"。沒提具體數(shù)字，但用了"disruptive and costly"（破壞性強(qiáng)、代價高）這種措辭，在官方文件里算很重的話。

從以色列到美國，同一撥人的兩年軌跡

美國政府沒點(diǎn)名具體黑客組織，但說了攻擊特征和CyberAv3ngers（網(wǎng)絡(luò)復(fù)仇者）高度吻合。這個組織也叫Shahid Kaveh Group，據(jù)信隸屬伊朗伊斯蘭革命衛(wèi)隊(duì)。他們的行動時間線很清晰：

2023年底開始活躍，第一波攻擊瞄準(zhǔn)以色列目標(biāo)。2024年轉(zhuǎn)向美國，專攻水務(wù)系統(tǒng)，尤其喜歡Unitronics公司的設(shè)備——一種在水處理和廢水處理廠廣泛使用的控制器。當(dāng)時他們黑掉了超過100臺設(shè)備，把設(shè)備名稱改成反以色列口號，還留了恐嚇信息。

現(xiàn)在的攻擊升級了。Unitronics換成Rockwell Automation（羅克韋爾自動化），這是工業(yè)自動化領(lǐng)域的頭部廠商，美國本土制造業(yè)的常客。攻擊目的也從"刷存在感"變成"真搞破壞"——篡改顯示數(shù)據(jù)，制造誤判，讓操作員在錯誤信息下做決策。

羅克韋爾自動化的回應(yīng)很標(biāo)準(zhǔn)：重視安全、配合政府、已發(fā)布客戶指南。但有個細(xì)節(jié)值得玩味——他們沒提自家產(chǎn)品有沒有漏洞，只說"協(xié)調(diào)"和"指導(dǎo)"。這種措辭通常意味著漏洞修補(bǔ)要么還在進(jìn)行，要么涉及硬件層面的硬骨頭。

PLC為什么成了軟肋

PLC這東西，工業(yè)設(shè)計(jì)邏輯是"能用二十年不壞"。穩(wěn)定性優(yōu)先，安全設(shè)計(jì)是后來打補(bǔ)丁。很多設(shè)備聯(lián)網(wǎng)是近幾年的事，為了遠(yuǎn)程監(jiān)控方便，但認(rèn)證機(jī)制、加密協(xié)議都是上一代標(biāo)準(zhǔn)。

更麻煩的是部署場景。一座水處理廠可能有幾十臺PLC，品牌混雜，年代參差。有些連廠商自己都停止支持了，還在一線運(yùn)轉(zhuǎn)。更新固件？得停機(jī)。換設(shè)備？預(yù)算和工期都是問題。

伊朗黑客選這個目標(biāo)，相當(dāng)于找到了美國基礎(chǔ)設(shè)施的"共同分母"——不管設(shè)施多重要，底層控制設(shè)備就那幾家供應(yīng)商，攻擊方法可以復(fù)用。

警報(bào)里提到的"政府設(shè)施"沒具體說明，但能源和水務(wù)的組合很有指向性。這兩類設(shè)施有個共同點(diǎn)：物理破壞的連鎖反應(yīng)大。電廠停機(jī)影響電網(wǎng)，水廠出問題影響公共衛(wèi)生，都是能逼政府談判的籌碼。

時間線上的微妙重疊

這份警報(bào)發(fā)布的時機(jī)，很難不讓人多想。同一天，特朗普正在社交媒體上威脅"徹底摧毀伊朗的基礎(chǔ)設(shè)施"，作為對伊朗導(dǎo)彈襲擊的回應(yīng)。美伊之間的軍事 escalation（升級）和網(wǎng)絡(luò)安全攻擊，形成了某種鏡像——你炸我的設(shè)施，我黑你的系統(tǒng)。

但網(wǎng)絡(luò)攻擊有個特點(diǎn)： attribution（歸因）困難，plausible deniability（合理推諉）空間大。伊朗政府不會認(rèn)領(lǐng)CyberAv3ngers，美國政府也只能說"affiliated with"（有關(guān)聯(lián)），而非直接指控。這種模糊地帶，正是國家級黑客行動的舒適區(qū)。

2023年底到2025年初，兩年時間里，同一組織從刷標(biāo)語進(jìn)化到搞破壞。這個速度不算快，但很穩(wěn)。每次攻擊都在測試邊界：能黑進(jìn)多少設(shè)備？能造成多大影響？被發(fā)現(xiàn)后對方怎么反應(yīng)？

美國政府的應(yīng)對也在升級。2024年的Unitronics事件后，CISA發(fā)過多份警報(bào)，現(xiàn)在變成四部門聯(lián)合。但防御方的結(jié)構(gòu)性劣勢沒變——關(guān)鍵基礎(chǔ)設(shè)施分散在私營部門，聯(lián)邦政府只能建議不能強(qiáng)制，補(bǔ)丁速度永遠(yuǎn)追不上漏洞利用。

Rockwell Automation的客戶指南里寫了什么？警報(bào)沒細(xì)說，但這類文檔通常包括：改默認(rèn)密碼、斷外網(wǎng)連接、分段網(wǎng)絡(luò)、監(jiān)控異常流量。都是基本功，但基本功恰恰是工業(yè)控制系統(tǒng)的短板——很多設(shè)備部署時就沒考慮過這些。

警報(bào)結(jié)尾留了句話："This is a developing story"（事態(tài)發(fā)展中）。確實(shí)在發(fā)展。軍事層面的對抗和網(wǎng)絡(luò)層面的滲透，哪個會先觸及對方的紅線？當(dāng)PLC的顯示屏開始撒謊，操作員還能相信什么？