CISA 就伊朗網絡入侵美國關鍵基礎設施發出警告,與停火宣言及持續數碼敵對行動同步
導言
4 月 7 日,網絡安全與基礎設施安全局(CISA)發出警告,指伊朗國家關聯的網絡行為者已入侵美國關鍵基礎設施領域(包括市政能源及供水系統)所使用的可連接互聯網的可編程邏輯控制器(PLC)。這項建議於總統 Donald Trump 宣布與伊朗軍事衝突停火的同日發出,突顯即使在常規敵對行動暫停之際,網絡行動依然持續。
正文
CISA 的建議指出,這些網絡行為者正在進行旨在對美國境內造成破壞性影響的活動。此事發生在「史詩之怒行動」(Operation Epic Fury,美國與以色列對伊朗的軍事行動)的第 38 天。該建議強調,國家級黑客行為是一種持續的地緣政治特徵,有別於有時限的常規戰爭。歷史先例包括 2013 年一名與伊斯蘭革命衛隊有關聯的黑客入侵紐約一座水壩的控制系統,以及 2023 年賓夕法尼亞州 Aliquippa 供水系統遭入侵,攻擊者存取了一個控制水壓的 PLC。芝加哥大學網絡政策倡議執行主任 Jake Braun 指出,供水系統因網絡安全防護不足而尤其脆弱。 分析人士對伊朗為何對小型市政系統感興趣提出了解釋:當地資源有限導致安全漏洞可被利用,使對手能夠進行偵察並在直接目標以外製造恐懼。2015 年俄羅斯對烏克蘭電網的攻擊可作為潛在大規模後果的參考。然而,雪城大學電機工程與計算機科學系主任 Alex K. Jones 評估,伊朗行為者尚未發動災難性的荷里活式攻擊,原因可能是能力有限,或擔心引發前所未有的軍事回應。儘管如此,PLC 入侵已導致業務中斷及財務損失,而網絡安全公司報告稱,在衝突前後均發生了大量其他攻擊——包括分散式阻斷服務(DDoS)行動,以及針對一家醫療機構的勒索軟件事件。退休 FBI 執行助理局長兼 Optiv 副總裁 James Turgal 表示,對美國公民的影響無可避免,而網絡層面仍處於早期階段。 在轟炸開始前,Symantec 及 Carbon Black(Broadcom 子公司)的研究人員報告稱,黑客組織 Seedworm——亦稱為 MuddyWater、Static Kitten 或 Mango Sandstorm——已滲透美國一個機場、一家銀行,以及一家為以色列國防承包商提供服務的軟件公司的網絡。研究人員指出,Seedworm 在美國及以色列網絡上預先存在,使其處於可發動攻擊的位置,而其他組織仍可能處於脆弱狀態。根據 FBI 及 CISA 的說法,Seedworm 是伊朗情報與安全部(MOIS)的前線組織,這是一種常見的國家資助策略,可提供合理否認性並使歸因複雜化。 3 月 11 日,即「史詩之怒行動」開始後第十二天,Handala 黑客團隊——根據司法部說法,這是另一個 MOIS 前線組織——據稱對總部位於密歇根州的醫療科技公司 Stryker 發動了擦除軟件攻擊,干擾了全球數千台設備。一個歸屬於 Handala 的 X 平台帖文聲稱,該行動是對 Minab 學校遇襲以及針對「抵抗軸心」持續網絡攻擊的報復。雖然無人死亡,但該攻擊導致手術延期、植入物交付延誤,並導致 Stryker 股價下跌。此類不對稱回應——無論是實體還是數碼——已成為這場衝突的特徵。伊朗同時對歐洲盟友及中東公司發動網絡攻擊,並以無人機襲擊損壞 Amazon Web Services 數據中心,旨在向美國領導層施壓。Recorded Future 高級顧問 Alexander Leslie 形容伊朗的優勢在於其持續性、信號式脅迫,以及無需先進能力即可製造破壞的技術。 CISA 的建議強調企業及市政當局需要加強系統安全。然而,在美國與以色列對伊朗發動襲擊前三天,FBI 局長 Kash Patel 解僱了負責監控伊朗威脅的反間諜部門數十名人員(該部門亦負責調查 Trump 的機密文件,據 CNN 報道)。數天後,Handala 洩露了 Patel 數百封私人電郵及照片,該組織的網站聲稱 Patel 是成功被黑客入侵的受害者。FBI 確認了這次攻擊,但《泰晤士報》指出該網站似乎託管於俄羅斯伺服器。CISA 在 Trump 政府下亦經歷了重大人員削減,第一年內約有三分之一的員工離職或被解僱,包括測試國家安全防禦的團隊。Trump 在 CISA 建議發布前不久公布的 2027 年預算,提議削減該機構 7.07 億美元並取消其選舉安全計劃——儘管伊朗曾針對 Trump 及 Harris 在 2024 年的競選活動。BreachLock 行政總裁 Seemant Sehgal 形容此類削減對針對美國基礎設施的國家級行為者有利。
結論
軍事行動的停火並未終止網絡行動。Leslie 指出,網絡衝突只是改變節奏而非結束,持續存在掃描、憑證攻擊及漏洞利用。Handala 在社交媒體上發表的帖文斷言,網絡戰爭並非始於軍事衝突,也不會隨任何停火而結束,顯示數碼敵對行動很可能獨立於常規和平協議而持續。