從網路攻防走向實體干擾:伊朗駭客鎖定 PLC、SCADA,OT 安全升級成國安議題
近日,美國聯邦調查局(FBI)、國防部、國家安全局(NSA)、能源部與網路安全暨基礎設施安全局(CISA)、美國國家環境保護局(EPA)與美國網路司令部國家任務部隊,共同發布一項聯合警報,指出自 2026 年 3 月以來,與伊朗相關的駭客組織已大幅升高對美國關鍵基礎設施的網路攻擊。這波行動,也被美方官員直接置於當前美伊軍事衝突不斷升溫的脈絡中解讀。
最值得警惕的是,這波攻擊瞄準的並非一般企業 IT 系統,而是能直接連動實體設備運作的工控層(OT),受影響範圍涵蓋政府設施、能源、水務與廢水處理系統。這也代表,事件的核心已不再只是新一波的網路入侵,而是地緣政治衝突已經實質外溢,直接威脅到供水、供電與現場設備控制的 OT 系統。
從 IT 走向工控層:伊朗駭客直接鎖定 PLC 與 SCADA
《Reuters》與《The Record》報導,美國官員明確表示,伊朗駭客正積極鎖定公開暴露的可程式化邏輯控制器(PLC),以及監控與資料擷取(SCADA)顯示介面,核心目的就是在美國境內製造「破壞性影響(disruptive effects)」。這些攻擊精準瞄準直接連網的 OT 裝置,包含 Rockwell Automation 與 Allen-Bradley 生產的 PLC,另有部分 Siemens 裝置可能也進入受害範圍。
《The Hacker News》進一步補充,這些受害對象廣泛分布在政府服務與設施、水務和廢水系統,以及能源部門,且特別點名 CompactLogix 與 Micro850 等目標型號。FBI 的警報更特別點出影響 Rockwell Automation 產品的 CVE-2021-22681 漏洞,而 CISA 早在一個月前就命令所有聯邦機構必須在 3 月 26 日前完成修補。對此,Rockwell Automation 發布聲明強調,他們非常嚴肅看待產品的安全問題,並正與政府機構密切協調合作。
當攻擊者成功入侵 PLC 後,他們的目標在於改變工業控制系統顯示介面上的資訊,這種操控在某些情況下,將導致設備停機、損壞甚至引發危險狀況。這些行動皆顯示,伊朗駭客攻擊已跳脫單純的企業資安事件範疇,而是攻擊者已直接操控能影響實體流程的底層工控系統。
攻擊已造成實質營運中斷與財務損失
目前,美方已確認有部分攻擊案例確實造成營運中斷與財務損失。在攻擊手法方面,《The Hacker News》詳細說明,攻擊者是利用第三方租用的基礎設施,配合 Rockwell Automation 的 Studio 5000 Logix Designer 軟體,來建立可被受害 PLC 接受的連線。接著,攻擊者再透過 Dropbear SSH 取得遠端控制能力,藉此擷取設備的專案檔案,並進一步操控 HMI 與 SCADA 的顯示資料。
正如《WIRED》所強調,透過改變控制系統的顯示資訊,攻擊者不僅能混淆現場人員,更可能在部分情況下導致系統停機、設備受損,甚至引發危險的工作環境。這充分凸顯一個嚴峻的事實:當攻擊目標從 IT 網路轉向 PLC 與 SCADA 等工控設備時,風險就不再侷限於資料外洩,而是會直接外溢到公共設施運作與現場設備安全。對此,官方強烈建議企業應將 PLC 這一類工控設備移出直接暴露於網際網路的環境、實施多重身分驗證(MFA)、在設備前架設防火牆或網路代理伺服器,以及隨時保持設備更新以防範威脅。
OT 已成地緣政治施壓的新途徑
然而,這並非伊朗駭客首次對 OT 系統發動攻擊。《WIRED》指出,美方機構將這波攻擊與 2023 年底至 2024 年間,由 CyberAv3ngers(或稱 Shahid Kaveh Group)發起的行動進行對比,發現兩者手法高度相似。
當時,CyberAv3ngers 曾大規模入侵以色列與美國等地使用的 Unitronics 設備,將裝置名稱惡意更改為「Gaza」,並替換顯示畫面。雖然表面上看似單純的塗鴉式破壞,但資安公司 Dragos 與 Claroty 指出,那些攻擊實際上已深度破壞設備程式碼,並在以色列、愛爾蘭與美國賓州的水務網路中造成服務中斷。
更令人擔憂的是,《WIRED》進一步表示,CyberAv3ngers 後續還在 2024 年入侵一家美國油氣公司,並部署名為 IOControl 的惡意程式。此外,《The Hacker News》補充,近期不斷升溫的不僅是針對 OT 的攻擊,還包括與伊朗有關的 DDoS 攻擊、駭客洩密(hack-and-leak)行動,以及由 Flashpoint、DomainTools 等機構所描述的更廣泛、協同式的網路攻擊與影響力操作活動。例如被認為替伊朗情報部門(MOIS)服務的駭客組織 Handala,不僅癱瘓醫療技術公司 Stryker 的 20 萬台設備,還針對 FBI 局長 Kash Patel 的舊 Gmail 帳號進行了駭客洩密行動。這些現象呈現出,伊朗相關組織正持續且系統性地將 OT 與關鍵基礎設施作為施壓目標。
這場網路衝突也直接與現實世界的政治角力掛鉤。在美國總統川普威脅若伊朗不達成協議,「整個文明將在今晚毀滅」之後,Handala 隨即在 Telegram 頻道上強硬反擊,揚言:「今晚,網路和飛彈士兵將為同一個國家並肩作戰,我們將迎來一個壯觀的夜晚!」
伊朗相關駭客這次鎖定的,是美國境內直接連動供水、能源供應與設施運作的 PLC、HMI 及 SCADA 系統,而非單純的 IT 網路。從 2023 年針對 Unitronics 的攻擊,到 2026 年鎖定 Rockwell、Allen-Bradley 等顯示介面的新一波行動,清楚呈現出一條不容忽視的脈絡:隨著地緣衝突升溫,OT 設備正日益成為伊朗相關組織用來干擾基礎設施、對敵手施加壓力的關鍵攻擊入口。
*本文開放合作夥伴轉載,資料來源:《The Record》、《Reuters》、《WIRED》、《The Hacker News》,圖片來源:AI 工具生成