美国联邦调查局(FBI)、网络安全与基础设施安全局(CISA)、国家安全局(NSA)、环境保护署(EPA)、能源部及网络司令部等六家机构联合发布紧急警告,揭露伊朗黑客组织CyberAv3ngers正针对美国本土工业控制系统展开大规模攻击。该组织自2026年3月起,持续扫描互联网,专门寻找暴露在外的罗克韦尔自动化(Rockwell Automation)可编程逻辑控制器(PLC),并成功接管了多个水务处理厂和能源设施中的阀门、水泵及涡轮机控制权。
攻击者利用恶意软件“wiper”清除系统数据,迫使运营方从自动模式切换至手动操作,导致多家水务公司、能源企业及地方政府遭受严重经济损失。这些被攻击的工业控制器通常通过特定端口(44818、2222、102、502)直接连接互联网,使得攻击者能够轻易修改人机界面(HMI)和监控与数据采集系统(SCADA)配置,甚至植入破坏性代码。
此次事件并非孤立案例。CyberAv3ngers早在2023年底就曾利用默认密码入侵宾夕法尼亚州某水务站的Unitronics控制器;2024年则升级为定制恶意软件攻击水与燃料系统。随着2026年2月28日美以伊冲突爆发,网络攻击强度显著增加,不仅针对美国,也波及以色列关键基础设施。安全专家指出,伊朗网络行动者正加速向IT与OT(运营技术)双重领域扩张,攻击范围更广、速度更快。
尽管部分攻击活动近期有所减弱,但六部门联合发声凸显事态严重性。当前最紧迫的应对措施包括:立即断开所有工业控制设备的互联网连接、应用罗克韦尔官方安全补丁、启用多因素认证,并严密监控相关端口的异常流量。然而,现实中仍有大量关键设备暴露于公网,暴露出工业网络安全防护的普遍短板。
法国作为欧洲工业强国,其工业控制系统同样面临类似风险,近年来法国政府已推动多项工业网络安全法规,要求关键基础设施运营商实施更严格的网络隔离与监控机制。对于中国制造业而言,此次事件再次敲响警钟:随着工业互联网普及,传统OT设备与IT网络边界日益模糊,必须将工业控制系统安全纳入企业核心战略,强化设备联网前的安全评估与持续监测,避免重蹈他国因配置疏忽导致的系统性瘫痪。
