2026-04-13 05:28:48 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文分析OT网络安全威胁，指出美国已公开承认对中国实施网络攻击并利用AI扫描电网弱点，Dragos报告揭示KAMACITE等组织正从IT入侵转向控制回路映射。关键发现包括攻击战术演进至供应链渗透、漏洞快速武器化，建议采取增强网络可见性、严格IT/OT隔离及主动威胁猎杀等防御措施。 综合评分： 87 文章分类： OT安全,威胁情报,漏洞分析,安全建设,政策法规

cover_image

OT网络安全的新思考专题 | 第一篇：OT安全的对手——谁在瞄准我们的工业命脉？

原创

安帝科技安帝科技

安帝Andisec

2026年4月10日 11:30 北京

现代社会的运转，建立在电力、水源、能源、制造与交通这些工业命脉之上。然而，它们正成为大国博弈中最具吸引力的靶标。与传统的军事对抗不同，针对工业控制系统（ICS）和运营技术（OT）的攻击，可以兵不血刃地让一座城市陷入黑暗、让一条生产线陷入瘫痪、让一个水处理厂释放毒剂。这不是科幻小说——乌克兰2015年和2016年的停电、2021年美国Colonial Pipeline管道勒索攻击、2025年波兰新能源发电的攻击，都是已发生的现实。而2025年以来的新动向更加令人不安：对手不再满足于窃取数据或勒索钱财，他们正在系统性地绘制我们的控制回路，研究如何触发物理过程停止，甚至将网络攻击作为大规模军事行动的“第一枪”。谁在瞄准我们的工业命脉？他们的能力到了哪一步？我们又该以怎样的底线思维来应对。

最强大的对手——从“公开承认”到“AI赋能”的全面攻势

要认清OT安全的威胁，首先必须正视谁是最具实力、最具意愿的对手。美国不仅拥有全球最先进的网络战力量，而且已将其从“隐蔽行动”推向“公开宣示”，并正在用人工智能（AI）为下一代的攻击工具赋能。

1.公开承认：“我们也这样做”

2025年6月，美国总统特朗普在接受采访时，面对主持人关于中国黑客攻击的质疑，直白地反问：“你不认为我们也对他们这样做吗？我们确实这样做，我们做很多事情。”他进一步表示：“世界就是这样运作的。这是一个险恶的世界。”这是美国最高层首次如此直白地承认对中国实施网络攻击。它打破了一个长期存在的幻觉：网络攻击是单向的，或者只有某些国家是攻击者。事实上，最强大的对手不仅存在，而且毫无道德负担地公开承认。

2.AI赋能：瞄准中国电网的自动化武器

2026年2月，英国《金融时报》披露，美国国防部正与OpenAI、Anthropic、Google等顶级AI公司合作，打造新一代网络攻击工具，其核心目标之一就是“找出中国电网的弱点”。该系统将利用AI自动渗透计算机网络、绘制漏洞分布图，并将潜在目标纳入战争规划。一名知情人士形容：“这就像夜间的窃贼逐户试门，直到找到未上锁的房子。AI可大幅增加测试的‘门户数’。”这意味着，针对中国OT基础设施的侦察与攻击，将实现规模化、自动化、智能化。我们面对的不是零散的黑客，而是一个由AI驱动的国家级战争机器。正如Dragos报告所揭示的，KAMACITE组织在2025年3月至7月对美国暴露的工业设备进行了持续侦察，而AI工具的引入将把这种侦察的效率提升数个数量级。

3.实战检验：从委内瑞拉到伊朗的“非动能先行”

美国的网络战能力绝非纸上谈兵。2026年1月，在抓捕委内瑞拉领导人的“绝对决心行动”中，美军参谋长联席会议主席丹·凯恩公开表示，美国网络司令部与太空司令部“开始叠加不同的效果”，为军事行动“开辟通道”。特朗普更直白地说：“由于我们拥有某种专业技术，加拉加斯的灯光基本上被熄灭了。”互联网追踪组织证实，该市网络服务与电力中断同步发生。仅仅两个月后，2026年3月，在代号“史诗狂怒行动”的对伊朗斩首打击中，同样的模式再次上演。凯恩将军详细说明：“最先行动者是美国网络司令部和美国太空司令部，它们叠加了非动能效应，干扰、降级并致盲了伊朗观察、通信和反应的能力。”随后，超过100架战机对伊朗目标实施了轰炸，伊朗最高领袖哈梅内伊身亡。

这两次实战清晰地定义了未来战争的开局：第一枪在数字空间打响，第一波打击不是导弹，而是瘫痪电网、通信和传感器的网络武器。中国的OT基础设施——电网、能源管理系统、工业网关——正是此类攻击的头号目标。而Dragos报告中所描述的“对手正在绘制控制回路”的观察，与美军在实战中先致盲、后打击的战术完全吻合。

最专业的攻击组织——持续进化，瞄准控制回路

如果说美国的战略意图是“大背景”，那么Dragos《2026年OT/ICS网络安全年度回顾》报告则提供了“显微镜”——详细刻画了那些专门针对工业网络的攻击组织，其技术、战术与程序（TTPs）正以惊人的速度进化，核心方向就是“瞄准控制回路”。

1.从“IT入侵”到“控制回路映射”的根本转变

Dragos报告的核心结论振聋发聩：“2025年，攻击者跨越了一条此前仅限于少数已知攻击的界线——他们不再仅仅获取访问权限并等待，而是主动映射控制回路。”报告进一步解释：“通过关联HMI、变频驱动器、仪表和网关，攻击者可以建立对暴露工业环境的详细操作视图，包括命令从何而来、如何传播、在何处可以产生物理效应。”这是从“能看”到“能打”的质变。这一发现与美国军方在“史诗狂怒行动”中先致盲、后打击的模式高度一致：先摸清控制逻辑，再实施破坏。

关键攻击组织及其TTPs演进

（1）KAMACITE & ELECTRUM：最危险的“双人舞”

ELECTRUM是造成乌克兰2015、2016年大停电的元凶，Dragos称其为“全球最具实战经验的基础设施攻击组织”。2025年，其活动从乌克兰扩展至波兰，首次针对“分布式能源资源（DERs）”——包括热电联产和可再生能源管理系统。而其搭档KAMACITE，则负责“开路”：2024年底至2025年初，KAMACITE大规模攻击欧洲OT供应链；2025年3月至7月，它转向美国本土，对暴露的工业设备（变频驱动器、智能HMI、工业蜂窝网关）进行了持续侦察。Dragos特别指出，其扫描模式“暗示了理解整个控制回路而非孤立设备的意图”。KAMACITE的侦察与ELECTRUM的破坏，形成了从“找门”到“炸门”的完整链条。

（2）AZURITE：专注窃取OT操作数据

AZURITE被Dragos归类为Stage 2攻击者，其独特之处在于：“交互式操作工程工作站，识别并外泄OT项目文件、报警数据、过程信息”，而非典型的知识产权窃取。这些数据正是开发ICS专用破坏工具的前置情报。Dragos评估，AZURITE“几乎肯定在利用这些信息开发OT专用工具或能力”。它并非不危险，而是在为更致命的打击“绘制地图”。

（3）SYLVANITE & VOLTZITE：快速武器化与接力攻击

SYLVANITE是一个初始访问提供商，其特点是“快速武器化公开的漏洞”。例如，它利用Ivanti EPMM的CVE-2025-4427/4428漏洞，在补丁发布前就攻入了美国一家公用事业公司的DMZ，窃取了LDAP凭证和Office 365令牌。随后，它直接将访问权移交给VOLTZITE——后者已证明能够“操纵工程工作站软件，转储配置文件，研究如何触发过程停止”。这种分工使从初始入侵到具备破坏能力的时间从“数周压缩至数天”。

发展趋势：更快、更深、更准备实战

漏洞利用速度：中位数仅24天，4%的ICS漏洞在披露时即被利用。

供应链攻击：KAMACITE通过攻击供应商、集成商，实现对下游运营商的大规模渗透。

身份与凭证滥用：SYLVANITE从后端数据库窃取凭证，直接合法登录系统。

勒索软件威胁：Dragos追踪到119个勒索软件团伙，影响3300多家工业组织，其中大量事件被误判为“IT事件”，而实际影响了工程工作站和SCADA服务器。

最不可缺的底线——极限想定，战争思维

当前，我们对OT安全的认知存在一个致命缺口：缺乏战争思维。许多人仍将OT安全视为IT安全的延伸，或仅仅是合规要求。但美国在委内瑞拉和伊朗的行动已经证明，在未来冲突中，OT基础设施将是第一波打击目标。平时战时界限模糊，攻防转换快速，必须树立底线思维：OT安全就是国家安全。

Dragos报告提供了五项关键控制，结合实战案例，我将其提炼为三条核心行动，适用于“极限想定”下的防御：

1.可见性——没有数据就没有真相

Dragos指出，全球仅不到10%的OT网络部署了有效监控。在其事件响应案例中，30%始于“感觉不对劲”，而非告警。没有网络流量日志，就无法调查攻击来源、无法确认是否已被入侵。在战争想定下，这种盲区是致命的。必须部署ICS感知的网络监控，并长期保存日志，使其成为事件调查与溯源的基础能力。

2.可防御架构——隔离是最后防线

KAMACITE和ELECTRUM的成功，无一例外依赖于从IT网络跳入OT网络。严格的IT/OT隔离、强制MFA（多因素认证）、跳板机审计，是阻断攻击传播的最有效手段。任何直接暴露在互联网上的PLC、HMI或工业网关，都是送给敌人的“突破口”。在极限想定下，应假定IT网络已被攻破，OT网络必须在物理和逻辑上与IT网络彻底隔离，并实施白名单通信。

3.主动猎杀与响应——假设已被入侵

对手已大量使用“离地生存”（LotL）技术，利用合法工具（PowerShell、RDP、WMI）进行恶意活动。被动等待告警远远不够。安全团队必须主动进行威胁猎杀，寻找偏离基线的异常行为。同时，ICS事件响应计划必须涵盖“失去控制、失去视野、失去可用性”的场景，明确“当现场设备、控制逻辑或命令路径的完整性无法假设时，如何安全地降级运行、隔离受损区域、验证传感器准确性”。这需要OT工程师、安全团队和管理层共同参与的常态化桌面推演。

结语

认清敌人，行动起来

我们的对手——以美国为代表的网络战力量——已经公开承认攻击行为，正在用AI扫描我们的电网，并在实战中反复演练“先致盲、后打击”的战术。Dragos报告揭示的KAMACITE、ELECTRUM、AZURITE等组织，则是这一宏大战略下的具体执行者。他们的TTPs正在加速进化：从侦察到映射控制回路，从供应链攻击到快速漏洞利用。

我们不能再以和平心态看待OT安全。必须树立底线思维：OT系统的瘫痪就意味着城市的黑暗、工厂的停摆、社会的混乱。投资于OT网络的可见性、架构与猎杀能力，不是为了应付检查，而是为了在下一场无声战争的第一枪打响时，我们还能亮着灯。

往期精选

安帝科技丨ANDISEC

北京安帝科技有限公司是新兴的工业网络安全能力供应商，专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索，基于网络空间行为学理论及工业网络系统安全工程方法，围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势，为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展，坚持产品体系的自主可控，全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。

点击“在看”鼓励一下吧

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安帝Andisec 安帝科技安帝科技《OT网络安全的新思考专题 | 第一篇：OT安全的对手——谁在瞄准我们的工业命脉？》