Censys 报告：数千美国工业控制器面临伊朗黑客威胁

Censys 发现：数千台美国工业控制器暴露于伊朗黑客攻击风险中

六个联邦机构于周二联合发布紧急通报，警告称与伊朗有关联的黑客自3月以来一直在积极入侵美国供水、能源及市政基础设施中的联网工业控制系统，已导致多个设施出现运营中断和经济损失，但受影响设施的具体数量尚未披露。

已发布

攻击面持续扩大

该公告由 CISA、FBI、NSA、环境保护署、能源部及美国网络司令部联合发布，将攻击者认定为一个与伊朗有关联的高级持续性威胁组织，专门针对罗克韦尔自动化公司（Rockwell Automation）生产的可编程逻辑控制器（PLC），尤其是其被广泛部署的 Allen-Bradley 系列产品。黑客利用租用的境外基础设施，以及罗克韦尔自家的 Studio 5000 Logix Designer 软件，与受害者的 PLC 建立连接，进而篡改人机界面和 SCADA 系统上所显示的数据。

受攻击的目标设备包括 CompactLogix 和 Micro850 控制器，这些设备广泛嵌入于从水处理到发电的各类工业流程中。环保署另行发出警告，称此次攻击已对“饮用水和污水处理系统中普遍使用的运营技术”造成实际干扰。

数千台设备仍处于暴露状态

网络安全公司 Censys 周三发布的研究报告揭示了问题的严峻程度：全球共发现 5,219 台暴露于互联网的罗克韦尔自动化 PLC 主机，其中近 3,900 台——占总数的 74.6%——位于美国境内。在暴露的美国设备中，近半数通过威瑞森（Verizon）蜂窝调制解调器接入互联网，另有 13% 通过美国电话电报公司（AT&T）无线基础设施连接，这表明这些设备被部署在泵站、变电站和市政设施等偏远现场。

Censys 研究人员还发现，许多暴露程度最高的设备正在运行已停止支持的老旧软件，且其他端口上运行的附加服务可能为攻击者提供除 PLC 漏洞利用之外的更多入侵途径。此外，研究人员还观察到攻击者正在探测 Modbus 和西门子 S7 协议，表明此次侦察行动范围更广，涉及多个厂商的产品。

报复与回应

美国联邦调查局（FBI）评估认为，伊朗针对美国组织的定向攻击活动“近期明显升级，这可能是对伊朗与美国及以色列之间敌对关系的回应”。此次攻击与2023至2024年加沙战争期间伊朗此前利用 Unitronics PLC 发动的攻击如出一辙——彼时美国数十家水务机构遭到入侵。

相关机构敦促运营人员立即将 PLC 断开公共互联网连接、启用多因素认证、检查日志以排查可疑活动，并将罗克韦尔设备的物理模式开关拨至“运行”档——这是极少数无法被远程覆盖的控制措施之一。罗克韦尔自动化公司负责政府事务的副总裁埃德·莫兰德（Ed Moreland）表示，公司“高度重视其产品与解决方案的安全性，并一直与政府机构密切协调配合”以应对此次预警。