美国政府部门联合发布警告,伊朗关联威胁组织正通过攻击面向互联网的工业控制系统(OT)设备,对美国多个行业的关键基础设施造成破坏。此次行动涉及可编程逻辑控制器(PLC),特别是罗克韦尔自动化(Rockwell Automation)旗下的艾伦-布拉德利(Allen-Bradley)设备,影响范围涵盖能源、水务及污水处理、政府设施等领域。该警告发布于美伊达成临时两周停火协议前夕,显示出网络攻击与地缘政治紧张局势的紧密关联。
根据美国网络基础设施安全局(CISA)等机构的联合公告,攻击者已成功篡改PLC项目文件,并干扰人机界面(HMI)与数据采集与监视控制系统(SCADA)的显示画面。部分案例已导致实际运营中断和经济损失。尽管未明确点名具体组织,但相关手法与伊朗伊斯兰网络电子司令部(CEC)下属的“赛博守护者”(CyberAv3ngers,又称Shahid Kaveh Group)高度相似。该组织曾在2023年11月入侵至少75台美国Unitronics PLC设备,目标同样指向关键基础设施。
此次攻击中,攻击者利用多个海外IP地址,通过租赁的第三方托管基础设施,配合罗克韦尔Studio 5000 Logix Designer等配置软件,建立了对受害PLC的合法连接。主要被针对的设备型号包括CompactLogix和Micro850系列。攻击流量通过44818、2222、102、22、502等端口进入,其中端口T0885的异常信号暗示西门子S7 PLC及其他厂商设备也可能受到波及。此外,攻击者还在受害终端部署了Dropbear SSH软件,以便通过22端口实现远程访问。
鉴于伊朗与美国之间的持续敌对状态,以及美国此前已对伊朗部分基础设施实施物理打击的背景,美方强烈敦促关键基础设施运营方立即采取缓解措施。值得注意的是,此类风险并非仅源于国家行为体,更深层的问题在于OT设备长期暴露于公网的设计缺陷。安全专家强调,只要OT环境可被互联网访问,即构成固有设计漏洞,无论攻击者身份如何。
CISA建议相关机构立即将PLC从公网直接暴露中移除,部署安全网关与防火墙,并重点排查44818、2222、102、502等端口的可疑流量,尤其是来自海外托管服务商的连接。同时,机构应检查日志中是否存在公告提供的入侵指标(IoCs),并将罗克韦尔设备的物理模式开关置于“运行”(Run)位置。若怀疑设备已遭攻击,应立即联系相关机构及设备厂商寻求指导。
