隨著美國與以色列戰事升級，針對美國工業場所的網絡攻擊也愈發頻繁。

美國六大政府機構發出警告：受伊朗政府指使的黑客正在破壞美國多處關鍵基礎設施的運營，此舉大概率是對美伊持續沖突的報復。

美國聯邦調查局（FBI）、網絡安全與基礎設施安全局（CISA）、國家安全局（NSA）、環境保護署（EPA）、能源部（DOE）及美國網絡司令部于周二聯合發布緊急警示，稱某高級持續性威脅（APT）組織正將可編程邏輯控制器（PLC） 作為攻擊目標。這類設備大小與烤面包機相近，廣泛部署在工廠、污水處理廠、煉油廠等各類工業場景，多位于偏遠區域，是自動化計算機與物理機械設備之間的核心交互接口。

運營中斷與經濟損失

公告明確：自 2026 年 3 月起，相關機構通過與受害機構協作確認，一支伊朗關聯 APT 組織已成功破壞多款 PLC 的正常運行。這些 PLC 覆蓋美國多個關鍵基礎設施領域，包括政府服務與設施、污水處理系統、能源行業，應用于各類工業自動化流程。部分受害機構已出現運營中斷、經濟損失。

遭入侵或被鎖定的 PLC 主要來自羅克韋爾自動化 / 艾倫 - 布拉德利（Rockwell Automation/Allen?Bradley）。安全廠商 Censys 周三表示，其全網掃描發現5219 臺該品牌設備直接暴露在公網，其中75% 位于美國境內，且多部署在設備所在的偏遠站點。黑客用于攻擊的核心設施是一臺運行羅克韋爾工具鏈的多網卡 Windows 工程工作站。

該公司指出：本輪攻擊直接通過廠商正版軟件（羅克韋爾 Studio 5000 Logix Designer）訪問公網暴露的 PLC，攻擊者無需利用零日漏洞，即可操作工程文件、篡改人機界面 / 監控系統（HMI/SCADA）顯示數據；已確認受攻擊設備系列包括 CompactLogix、Micro850。

該工作站通過非標準 TCP 端口 43589的遠程桌面協議（RDP）連接 PLC，使用通用名為 DESKTOP?BOE5MUC 的自簽名證書，主機還開放了完整 Windows 協議棧（DCERPC/135、MSMQ、NetBIOS）。

周二的公告還顯示，黑客同時在探測 Modbus、S7 等其他工業協議，意味著其他廠商的 PLC 也在攻擊范圍內。

受伊朗伊斯蘭革命衛隊指使的黑客此前就曾襲擊美國工業場所。2023 年，名為 “CyberAg3ngers” 的組織曾癱瘓美國境內 PLC 與人機界面，導致多個關鍵基礎設施領域至少 75 臺設備被入侵。

3 月中旬，美以對伊朗發動空襲次日，跨國醫療器械廠商史賽克（Stryker）證實遭網絡攻擊，核心基礎設施癱瘓數日。研究人員確認，此次攻擊由親伊朗黑客組織漢達拉（Handala） 實施，該組織已在社交平臺認領此事。漢達拉還于上月入侵了 FBI 局長卡什?帕特爾的私人郵箱。安全廠商 Flashpoint 在郵件中透露，親伊朗代理組織還成功對網飛、Pinterest 等主流平臺及澳大利亞政府門戶網站發動 DDoS 攻擊。

周二與周三發布的公告均披露了攻擊者基礎設施的 IP 地址等標識信息，并提供了 PLC 加固防護指南。隨著美伊沖突持續，此類網絡攻擊大概率會進一步升級。