美国联邦调查局(FBI)、网络安全与基础设施安全局(CISA)、国家安全局(NSA)及能源部等多个机构今日联合发布安全咨询,对伊朗关联黑客组织的持续攻击行为提出警告。
报告指出,自2026年3月起,这些黑客组织一直将目标锁定在关键基础设施组织的联网可编程逻辑控制器(PLC)上。受影响领域涵盖政府服务设施、水务系统以及能源行业,攻击已导致受害者出现运营中断和财务损失。
“FBI评估认为,这些与伊朗有关联的高级持续性威胁(APT)组织正试图通过恶意访问项目文件、篡改人机界面(HMI)及监控与数据采集(SCADA)系统数据,对关键基础设施进行破坏,”联合咨询写道。
相关部门认为,近期针对美国目标的攻击活动频率有所升级。这很可能是伊朗与美国及以色列之间紧张局势加剧的直接反应。调查显示,攻击者能够成功提取设备的项目文件,并篡改显示屏上的监测数据。
强化工业控制系统防御
此前,相关部门曾于2023年11月发出警告,称隶属于伊朗伊斯兰革命卫队(IRGC)的CyberAv3ngers黑客组织曾利用Unitronics运营技术(OT)系统的漏洞发起攻击。在2023年11月至2024年1月期间,该组织至少攻破了75台PLC设备,其中半数位于水务系统网络中。
为防范此类威胁,网络安全专家建议立即采取防御措施。首先,应将PLC设备从互联网断开,或通过防火墙进行严格隔离。此外,管理员需扫描日志以核查是否存在联合咨询中提到的入侵指标,并严密监控OT端口的流量,特别是来自海外托管服务商的异常连接。
官方还建议在OT网络访问中部署多因素身份验证(MFA),并确保PLC固件及时更新。所有未使用的服务及默认身份验证密钥应当一律禁用,以缩减潜在的攻击面。
除针对基础设施的攻击外,伊朗黑客的行动范围近期有所扩大。上个月,亲巴勒斯坦的Handala黑客组织对美国医疗巨头史赛克(Stryker)发起了攻击,导致该公司网络中约8万台设备被清除数据,包括员工的移动设备及个人电脑。FBI同时警告,与伊朗情报和安全部(MOIS)有关联的黑客正利用Telegram平台分发恶意软件。
