北京
2026年4月7日,美国6家联邦机构——FBI、CISA、NSA、环保局、能源部、网络司令部——联合发布了一份编号AA26-097A的警报。这是罕见的跨部门协同,上一次这种阵仗还是SolarWinds事件。
但这次的攻击手法,简单到让安全从业者感到荒诞。攻击者没有使用零日漏洞,没有供应链植入,没有破解加密——他们只是连上了暴露在互联网上的PLC(可编程逻辑控制器),用厂商自带的合法工程软件登录进去。
这些设备没有密码。没有防火墙。没有监控。就像你家大门敞开,小偷按门铃进来,你还以为是物业检修。
8万台设备裸奔:攻击面比想象中更夸张
Shodan扫描数据显示,全球约有8万台PLC直接暴露于公网。美国本土占比不低,覆盖能源、水务、制造等关键基础设施。这些设备控制着泵站、变电站、生产线——物理世界的开关。
伊朗APT组织的手法堪称"朴素":扫描互联网寻找暴露的端口,识别设备型号,下载对应厂商的编程软件(通常是免费或易获取的),建立连接,上传恶意逻辑。
CISA在警报中明确列出受影响厂商:西门子、施耐德、罗克韦尔、三菱、欧姆龙。都是工业控制领域的头部玩家。问题不在于设备本身,而在于部署方式——工程师为了方便远程维护,把PLC直接插在了公网上。
这种配置在十年前或许常见。当时"空气间隙"(Air Gap,物理隔离)被认为是OT安全的黄金标准,但随着远程运维需求增长,很多设施悄悄接入了互联网,却保留了旧时代的安全思维。
警报披露的具体案例包括:某水务系统被篡改泵速设定,导致压力异常;某能源设施遭遇计划外停机,修复成本六位数;更隐蔽的案例中,攻击者只是潜伏,未触发明显故障——这意味着发现即意味着已存在更久的渗透。
合法工具武器化:最难防御的攻击路径
这次事件的核心悖论在于:攻击者使用的全是"合法"工具。
厂商提供的工程软件(如西门子的TIA Portal、罗克韦尔的Studio 5000)设计用途就是对PLC进行编程和调试。当这些软件连接到一台没有认证机制的PLC时,它不会询问"你是谁",只会执行你发送的指令。
从防御角度看,这构成了检测盲区。传统安全设备寻找的是恶意软件特征、异常流量模式、已知漏洞利用。但这里的流量看起来完全正常——确实是厂商软件在与厂商设备通信。
NSA在联合警报中罕见地使用了直白措辞:「攻击者不需要 sophisticated capabilities(复杂能力),只需要互联网连接和基础扫描工具。」
这种低门槛意味着攻击者谱系被大幅拓宽。不再是少数拥有零日储备的国家队专属,任何具备基础网络侦察能力的团体都可复制。
EPA(环保局)的参与尤其值得注意。该机构通常不介入网络安全事务,此次联合署名表明水务系统的实际损害已触及监管红线。
ICS/OT安全的"前互联网时代"遗产
工业控制系统的设计哲学源于另一个时代。PLC诞生于1968年,最初用于替代继电器逻辑,设计前提是物理隔离——设备在工厂车间,操作员在控制室,坏人需要肉身潜入才能搞破坏。
互联网改变了游戏规则,但安全架构的演进严重滞后。很多设施的网络拓扑是"渐进式污染":先在内部署新系统,再逐步打通连接,最后发现关键节点已暴露在公网,却无人能说清何时发生的。
更深层的问题是人才结构。OT工程师精通物理过程控制,但网络安全的知识谱系是另一套语言;IT安全团队懂网络威胁,却缺乏对工业协议(如Modbus、Profinet)的实操经验。两个群体之间的翻译成本,造成了大量灰色地带。
CISA在警报附录中提供了自检清单:扫描公网IP段是否暴露PLC常用端口(102、44818、502等),检查VPN是否强制双因素认证,审计远程访问日志中的异常地理位置。
但最基础的措施被放在最后——"将PLC从公网移除"。这听起来像废话,却是被反复忽略的根本。
联合警报的发布时间(2026年4月)距离实际攻击活动已有数月延迟。CISA承认部分入侵可追溯至2025年底,典型的检测-响应时间差。对于OT环境,这种延迟代价更高:补丁窗口需要协调停机,验证流程涉及物理安全评估,不能像IT系统那样连夜重启。
美国网络司令部(CNMF)的参与释放另一个信号。该单位负责"前置防御"(Defend Forward),即在网络空间主动追踪威胁。其署名暗示美方可能已在对手基础设施中观察到相关活动,或实施了反制,但公开细节不会披露。
能源部的加入则指向电网风险。北美电力可靠性公司(NERC)的CIP标准对关键网络资产有严格隔离要求,但执行层面的缝隙始终存在——尤其是配电环节,运营商数量众多,安全成熟度参差不齐。
这次事件可能成为一个转折点。ICS/OT安全长期活在IT安全的阴影下,预算、人才、关注度都处于次级地位。但当6家联邦机构联合为一个"基础配置错误"发声,说明风险水位已触及国家战略层面。
厂商端的响应也在加速。西门子2025年底已发布固件更新,强制启用密码策略;施耐德推出"安全启动"功能,验证PLC逻辑完整性。但这些改进对存量设备覆盖有限——工业硬件的生命周期常以十年计,替换成本远超软件补丁。
警报末尾附有一段罕见的直白建议:「如果你的PLC当前暴露于互联网,假设它已被访问过。」
这不是恐吓,而是OT安全的残酷算术——检测能力的缺失,意味着"未发现"不等于"未发生"。
你家小区的二次供水泵房,去年有没有做过网络安全评估?
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
