美国联邦调查局FBI等机构周二发布警告称 伊朗关联网络攻击者正瞄准互联网暴露的操作技术OT设备 特别是Rockwell Automation和Allen-Bradley的可编程逻辑控制器PLC 这些攻击已在政府服务、水务系统和能源部门造成显示数据篡改和财务损失。FBI在X平台发帖指出 攻击者通过租赁第三方托管基础设施 使用Rockwell Automation的Studio 5000 Logix Designer软件建立连接 入侵CompactLogix和Micro850等PLC型号。链上数据显示 类似伊朗攻击曾在2023年底入侵至少75台Unitronics PLC 针对宾夕法尼亚州西部水务机构。攻击者获初始访问后 部署Dropbear SSH软件开通22端口远程控制 提取项目文件并操纵HMI和SCADA显示界面。
这些行动源于伊朗与美国以色列冲突升级 FBI联合情报机构描述为伊朗黑客团体近期报复性网络战的一部分。The Hacker News报道 攻击模式包括项目文件恶意交互和数据篡改 目标直指关键基础设施核心。Check Point Research威胁情报主管Sergey Shykevich表示 他们几个月来观察到伊朗行动加速 从IT扩展到OT 3月份已记录对以色列PLC的相同手法。DomainTools Investigations本周报告 将Homeland Justice、Karma和Handala Hack归为伊朗情报部MOIS协调的单一网络影响生态 而非独立黑客团体。这些团体用Telegram频道和域名放大宣传 兼作C2指挥控制通道 实现叙事操控和基础设施连续性。
JUMPSEC最新披露 伊朗国家支持团体MuddyWater与犯罪生态深度绑定 至少运营两种CastleRAT变体针对以色列目标 该RAT源于CastleLoader框架 与俄罗斯GrayBravo团体相关。攻击链用PowerShell部署器reset.ps1加载ChainShell JavaScript恶意软件 通过Ethereum智能合约取C2地址 后续拉取执行代码 还携带Tsundere/Dindoor僵尸网络。Ctrl-Alt-Intel和Broadcom等机构证实 此类连接显示伊朗转向商用现成工具 支持国家目标并混淆归因。防御建议包括隔离PLC避开互联网 启用物理软件开关防远程改动 加装MFA多因素认证 防火墙或代理控制访问 及时更新固件 禁用闲置认证 并监控异常流量。当前加密市场未现明显波动 BTC现报$71,711(24h +4.36%) ETH报$2,244(24h +6.52%) 投资者关注地缘网络风险对基础设施安全的溢出影响。