文章总结： 美国多部门联合警告伊朗APT组织正针对能源和水务等关键基础设施的OT设备发起破坏性攻击，通过暴露公网的PLC直接操控物理流程并篡改HMI数据。攻击手法包括利用罗克韦尔/西门子PLC的开放端口（44818、2222等）部署SSH后门，已造成运营中断。建议立即隔离互联网暴露设备、启用物理锁、审查日志并强化访问控制。 综合评分： 88 文章分类： 威胁情报,漏洞分析,应急响应,IoT安全,网络安全

联邦政府警告：伊朗黑客正对美国能源和水务目标发起破坏性攻击

原创

网空闲话 网空闲话

网空闲话plus

2026年4月8日 07:09 北京

2026年4月7日，美国联邦调查局（FBI）、网络安全和基础设施安全局（CISA）、国家安全局（NSA）、环境保护署（EPA）、能源部（DOE）以及美国网络司令部下属的网络国家任务部队（CNMF）联合发布了一份紧急网络安全公告（AA26-097A），明确指出伊朗政府关联的“高级持续性威胁”（APT）行为者正在对面向互联网的运营技术（OT）设备发起系统性、破坏性的网络攻击。攻击目标包括由罗克韦尔自动化（Rockwell Automation）/艾伦-布拉德利（Allen-Bradley）制造的可编程逻辑控制器（PLC），以及可能涉及西门子S7等其他品牌的PLC。公告称，“此活动已导致美国多个关键基础设施领域的PLC发生中断”，攻击者通过“恶意交互项目文件”和“操纵人机界面（HMI）及监控与数据采集（SCADA）显示器上的数据”，造成了“运营中断和财务损失”。

一、攻击背景：地缘冲突催化下的网络升级

此次警报并非孤立事件。公告回顾了类似历史活动：自2023年11月起，伊朗伊斯兰革命卫队（IRGC）网络电子司令部（CEC）关联的黑客组织“CyberAv3ngers”（又名Shahid Kaveh Group、Hydro Kitten等）曾针对美国本土的PLC和HMI发动攻击，至少涉及75台设备，尤其针对水务和废水处理系统（WWS）领域广泛使用的Unitronics品牌PLC。当时攻击者通过公开互联网直接操控设备，造成部分设施的水泵异常运行。

而自2026年3月以来，新一轮攻击明显升级。公告披露，“通过与受害组织的接触，编写机构识别出一个伊朗附属的APT组织破坏了PLC的功能”，这些PLC部署于“政府服务与设施（含地方市政）、水务和废水处理系统以及能源行业”。攻击的触发背景被评估为对“伊朗与美国及以色列之间敌对行动”的直接回应。据CyberScoop 2026年4月7日报道，“自今年3月以来，这些机构已经发现了新的受害者”，并且“在美国与以色列对伊朗发动打击之后，伊朗的黑客攻击活动迅速加剧”。

Recorded Future News在同日（4月8日）的报道中进一步补充，美国与以色列、伊朗之间的“动能冲突”自2月底开始以来，已经产生了显著的网络安全后果，包括一家知名医疗设备公司（Stryker）的20万台设备被擦除，以及其他尚未公开的多起攻击事件。

二、攻击手法：直连互联网的PLC成为突破口

联合公告详细披露了攻击者的技术细节，映射到MITRE ATT&CK框架的多个战术与技术点。

1. 初始访问（T0883：互联网可访问设备）

攻击者使用多个海外托管服务商提供的IP地址，直接扫描并连接至暴露在公网的PLC。他们利用罗克韦尔自动化的官方配置软件（如 Studio 5000 Logix Designer）与被攻击设备建立合法会话。公告特别指出的目标设备型号包括 CompactLogix 和 Micro850 系列PLC。

2. 命令与控制（T0885：常用端口；T1219：远程访问工具）

恶意流量主要流向以下端口：44818、2222、102、22、502。其中：

• 端口44818/2222 关联罗克韦尔的EtherNet/IP协议；
• 端口102 关联西门子S7通信协议；
• 端口502 关联Modbus协议。

这表明攻击者具备跨品牌攻击能力。尤为危险的是，攻击者在受害端点部署了 Dropbear SSH 软件（一种轻量级SSH服务器），从而通过端口22获得持久的远程交互访问权限（T1219）。

3. 影响（T1565：存储数据操纵）

攻击者不仅提取了PLC的项目文件（即包含梯形逻辑和配置设置的.ACD文件），还恶意修改了HMI/SCADA显示的数据。这意味着操作员可能看到被篡改后的虚假参数（如水位、压力、温度），而实际物理过程已偏离安全状态。这种“数据欺骗”比单纯的拒绝服务更隐蔽，更易引发误操作甚至物理事故。

三、最新指标与历史关联

公告提供了以下攻击者使用的IP地址及关联时段（建议网络防御者查询日志）：

| 恶意IP | 开始使用 | 最后使用 | | — | — | — | | 135.136.1[.]133 | 2026年3月 | 2026年3月 | | 185.82.73[.]162 | 2025年1月 | 2026年3月 | | 185.82.73[.]164 | 2025年1月 | 2026年3月 | | 185.82.73[.]165 | 2025年1月 | 2026年3月 | | 185.82.73[.]167 | 2025年1月 | 2026年3月 | | 185.82.73[.]168 | 2025年1月 | 2026年3月 | | 185.82.73[.]170 | 2025年1月 | 2026年3月 | | 185.82.73[.]171 | 2025年1月 | 2026年3月 |

（注：上述IP中的“[,]”为原始公告中的脱敏写法）

Recorded Future News的报道指出，CISA已于一个月前（即2026年3月26日前）要求所有联邦机构修补CVE-2021-22681漏洞——这是一个影响罗克韦尔Logix控制器的身份验证绕过漏洞。攻击者可能利用该漏洞扩大访问权限。

四、行业反响与未公开的攻击事件

除联合公告外，两家专业媒体补充了更多背景：

• CyberScoop 报道称，在美伊冲突开始后，与德黑兰有关联的黑客声称攻击了包括医疗科技巨头Stryker、多个地方政府等在内的目标。FBI上个月还警告称，伊朗黑客正通过Telegram应用部署恶意软件。
• Recorded Future News 披露，一周前（2026年4月初），北达科他州迈诺特市（Minot）的一家水处理厂报告了一起勒索软件事件。虽然该市官员表示没有直接索要赎金，仅“屏幕上出现了一封信”，但FBI已确认参与调查该事件以及另一起针对印第安纳州某县政府的攻击。此外，美国国务院曾悬赏1000万美元，征集2023年攻击事件中六名IRGC关联黑客的信息，其中一人正是IRGC网络电子司令部负责人哈米德·雷扎·拉什加里安（Hamid Reza Lashgarian）。

Dragos公司首席执行官罗伯·李（Rob Lee）在2月份对媒体表示，同一组织持续聚焦能源公用事业、石油和天然气、铁路以及水务领域，“显示出对控制回路和物理过程的理解能力不断增强，而不仅仅是涂鸦人机界面”。

五、联邦政府的紧急缓解措施

联合公告敦促美国相关组织立即采取以下行动（部分与CISA的“跨部门网络安全绩效目标2.0”对齐）：

1. 立即断网：将PLC从直接互联网暴露中移除，通过安全网关（跳板机）代理所有远程访问。
2. 物理锁定：对于带有物理模式开关的控制器，将其置于 “运行”（Run） 位置，防止远程修改；仅当需要更新程序时临时切换。
3. 日志审查：针对上述IP列表查询2025年1月至2026年3月期间的访问日志，特别留意端口44818、2222、102、502等异常流量。
4. 强化备份：将PLC逻辑和配置备份离线存储，并保护物理介质。
5. 多因素认证：对从外部网络访问OT系统实施MFA（即使PLC本身不支持，也应通过VPN或网关实现）。
6. 禁用不必要的服务：如Telnet、FTP、RDP、VNC及默认认证密钥。

对于设备制造商，公告特别指出应遵循“默认安全”（Secure by Design）原则：“改变制造商的默认设置，防止将管理界面暴露在互联网上”，“不得对安全运行产品所需的基本安全功能收取额外费用”。

结语

此次联合警报的发布，标志着美国政府正式承认伊朗国家行为者已将对美关键基础设施的网络行动从“侦察与涂鸦”升级为“数据操纵与流程破坏”。随着地缘冲突的持续，暴露在公网的工业控制系统正成为最容易遭受物理后果攻击的薄弱环节。对于中国读者而言，这一案例也警示了任何国家在关键基础设施防护中，必须严格隔离工业控制网络与公共互联网，并建立多层次的访问控制与监测机制。

参考资源

1、https://cyberscoop.com/iranian-hackers-cyberattacks-us-energy-water-infrastructure-plc-scada-warning/

2、https://therecord.media/fbi-pentagon-warn-iran-hacking-groups-target-ot

3、https://www.cisa.gov/sites/default/files/2026-04/AA26-097A-Iranian-Affiliated-Cyber-Actors-Exploit-Programmable-Logic-Controllers-Across-US-Critical-Infrastructure_508c.pdf

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《联邦政府警告：伊朗黑客正对美国能源和水务目标发起破坏性攻击》