【安全资讯】近4000台美国工业设备暴露于伊朗网络攻击威胁之下

概要：

近期，伊朗背景的国家级黑客组织将攻击矛头指向了美国关键基础设施网络，特别是大量暴露在互联网上的工业控制系统设备。网络安全公司Censys的报告揭示，全球有超过5200台罗克韦尔自动化公司的可编程逻辑控制器（PLC）在线暴露，其中近四分之三位于美国，构成了巨大的安全风险。这一事件凸显了地缘政治紧张局势正迅速转化为针对实体工业系统的网络攻击，对国家安全和经济稳定构成严重威胁。

主要内容：

根据美国多个联邦机构发布的联合安全公告，自2026年3月起，伊朗国家支持的黑客组织持续针对罗克韦尔自动化/艾伦-布拉德利品牌的PLC设备发起攻击。攻击者成功提取了设备的项目文件，并篡改了人机界面（HMI）和监控与数据采集（SCADA）系统的显示数据，导致目标企业运营中断和财务损失。攻击的升级被认为与伊朗同美国及以色列之间的敌对行动有关。

Censys的技术分析指出，全球共有5219台通过以太网/IP协议暴露在互联网上的罗克韦尔设备，其中3891台（占74.6%）位于美国。值得注意的是，大量设备通过蜂窝调制解调器部署在现场，其网络流量经由移动运营商网络，这增加了攻击的隐蔽性和复杂性。攻击者很可能利用了这些暴露设备的已知漏洞或弱配置进行初始访问。

此次攻击活动是伊朗相关黑客组织长期行动的延续。例如，隶属于伊朗伊斯兰革命卫队的CyberAv3ngers组织曾在2023年至2024年间，利用Unitronics OT系统的漏洞攻击了至少75台PLC，其中一半属于美国的水和废水处理系统。近期，与伊朗情报安全部有关的Handala黑客组织也对美国医疗巨头Stryker发动了大规模数据擦除攻击。

为应对威胁，安全专家建议立即将PLC置于防火墙保护之下或断开其互联网连接，扫描日志寻找恶意活动迹象，并监控源自海外托管服务的可疑流量。同时，必须对OT网络访问强制实施多因素认证，及时更新所有PLC固件，并禁用未使用的服务和认证方法，以缩小攻击面。