伊朗指控美以利用设备后门：断网后路由器仍被远程瘫痪

「美国『黑匣子』在伊斯法罕遭袭的零时失效。」伊朗国家媒体这则指控，把网络设备供应链的安全信任问题推到了台前。

伊朗到底说了什么

伊朗国家媒体近日发布报告，点名四家公司：思科、瞻博网络、飞塔、MikroTik。指控内容很具体——这些设备在美以军事行动中集体失效，要么重启，要么掉线。

诡异之处在于时间点。伊朗强调，袭击发生时该国已断开全球互联网，属于物理层面的网络隔离状态。设备却在「零时」同时出问题，伊方认为这「表明存在深度破坏行为」。

伊朗媒体的推测指向两种可能：隐藏固件或预置后门，触发方式可能是卫星信号，也可能是预设时间激活。

需要划清界限的是：这些指控目前没有任何独立信源验证。考虑到信息源是伊朗国家媒体，保持审慎是必要的。

美方的回应与操作确认

美国没有直接回应伊朗的具体指控，但确认了相关网络行动的存在。

美军参谋长联席会议主席丹·凯恩将军在3月2日五角大楼简报会上表示，美国网络司令部和美国太空司令部是所谓「史诗狂怒行动」的「首发力量」。该军事行动于2月底启动，针对伊朗。

凯恩的原话是：协调一致的空间和网络行动「在打击开始前就破坏了伊朗的通信和传感器网络」。

这里的关键信息是：美方承认实施了前置性网络干扰，但未说明技术手段是否涉及伊朗指控的供应链渗透。

被点名厂商的安全记录

伊朗指控未经验证，但四家被点名厂商均有公开可查的安全问题记录。

思科：2023年曾曝IOS XE系统Web用户界面漏洞，被利用植入后门；同年还有Secure Boot绕过问题。

瞻博网络：2024年初修复Junos OS多个高危漏洞，部分涉及远程代码执行；历史上有过「未授权代码」事件。

飞塔：2022-2023年多款FortiGate防火墙被曝硬编码密钥和SSL VPN漏洞，被攻击者广泛利用。

MikroTik：RouterOS系统长期是僵尸网络目标，2018年Vault7泄露文档显示CIA曾研究其漏洞利用。

这些记录不能证明伊朗指控为真，但说明攻击面客观存在——国家行为体具备动机和能力时，这类设备确实是高价值目标。

技术层面的两种可能性

把伊朗的指控放在技术语境下拆解，存在两条逻辑线。

第一条线：供应链预置。设备出厂时植入隐蔽固件，平时休眠，接收特定信号激活。这种操作需要厂商配合或供应链环节被渗透，技术难度高但非不可能。斯诺登2013年披露的文件显示，NSA确有类似项目。

第二条线：利用已知漏洞。设备虽断网，但可能保留管理接口、卫星链路或内部网络通道。攻击者若提前掌握网络拓扑和漏洞信息，可在隔离环境下实施精准打击。这种方式不需要「后门」，但需要大量前置情报工作。

伊朗强调「已断网」这一事实，试图排除第二条线的解释空间。但「断网」的定义本身模糊——是切断国际出口，还是完全关闭所有无线和管理接口？技术细节缺失让判断困难。

信息战维度不可忽视

跳出技术层面，这起指控本身也是信息战的组成部分。

伊朗此时发布报告，时机选择在美方确认网络行动之后、技术细节曝光之前。指控对象选择四家西方主流厂商，既符合「反美」叙事，也精准打击全球网络基础设施的信任基础。

对伊朗而言，无论指控是否属实，都能达到多重效果：对内解释军事失利的技术原因；对外向设备采购国释放疑虑；向厂商施压，要求其澄清或自证。

这也是为何独立验证至关重要。国家媒体作为单一信源，在冲突语境下的可信度天然受限。

正方观点：指控具备技术合理性

支持伊朗指控的一方，论据集中在三个层面。

历史先例。斯诺登文件证实NSA曾拦截思科设备运输，植入固件后门；Vault7泄露显示CIA储备了大量网络设备漏洞利用工具。国家行为体对供应链的渗透有实锤记录。

技术可行性。现代网络设备固件复杂，隐藏代码难以被采购方完全审计。卫星触发、预设时间激活等技术手段在工业界有成熟方案，非科幻概念。

行为一致性。美方承认实施了前置网络干扰，但未说明具体手段。在「史诗狂怒行动」中，网络司令部作为「首发力量」的角色，与伊朗描述的「零时失效」时间线吻合。

这一方的核心判断是：伊朗的描述与已知的技术能力和历史行为模式不矛盾，不能简单归为虚假信息。

反方观点：证据链缺失，动机可疑

质疑方的问题同样尖锐。

零实物证据。伊朗未提供任何设备日志、固件样本或技术分析报告。在网络安全事件中，「声称」与「证明」之间差距巨大。2010年震网事件之所以被确认，是因为研究者实际获取了恶意代码样本。

逻辑漏洞。若美国确实掌握如此精准的供应链渗透能力，公开承认网络行动反而暴露攻击向量。国家行为体通常对真正敏感的能力保持沉默，而非在记者会上确认。

信源可信度。伊朗国家媒体在冲突中的角色是信息战参与者，而非中立观察者。此前关于网络攻击的指控多次被后续调查削弱或推翻，如2019年部分电力设施故障被归因于网络攻击，后查明为物理事故。

这一方的核心判断是：在缺乏独立验证的情况下，国家媒体的单一信源不足以支撑如此严重的供应链安全指控。

我的判断：信任危机比技术真相更值得关注

这起事件的核心价值，不在于验证伊朗指控的真伪——这在短期内几乎不可能——而在于它暴露的结构性问题。

网络基础设施的供应链信任正在崩塌。无论伊朗指控是否属实，「设备可能在断网后被远程瘫痪」这一概念已经进入公共话语。对于依赖西方网络设备的国家和企业，这构成真实的决策压力。

技术层面的启示是：网络隔离的边界比想象中模糊。伊朗认为自己「已断网」，但设备的失效表明隔离可能不完整，或攻击面存在于被忽视的维度——卫星链路、管理接口、固件层面的隐蔽通道。

商业层面的影响正在显现。被点名的四家厂商中，思科和瞻博网络占据全球企业路由器和交换机市场主要份额。若「预置后门」的疑虑持续发酵，非西方市场的采购决策将被迫调整。这不是即时发生的，而是缓慢侵蚀信任资本。

对于科技从业者，这件事的实用指向很明确：重新评估网络隔离的有效性，审视供应链审计的深度，假设「断网」不等于「安全」。伊朗指控的真假或许永远无法确认，但它提出的问题——你的设备在断网后，真的离线了吗？——值得每一个负责基础设施的人认真回答。