文章总结： 美国多部门联合警告伊朗背景黑客组织CyberAv3ngers正针对能源、水务等关键基础设施的工业控制系统发动破坏性网络攻击，通过入侵可编程逻辑控制器(PLC)篡改系统界面导致运营中断和经济损失。攻击组织具备丰富工控设施攻击经验，从机会主义转向持续性威胁。政府建议加强PLC安全防护并发布相关指南。 综合评分： 78 文章分类： 漏洞预警,威胁情报,工控安全,网络安全,政策法规

能源水务等关基工控设施遭破坏性网络攻击，美国政府紧急发布警报

安全内参编译 安全内参编译

安全内参

2026年4月9日 17:21 北京 标题已修改

关注我们

带你读懂网络安全

在特朗普对伊朗威胁不断加码的同时，美国联邦多个机构联合警告称，伊朗正对美国关键基础设施实施了大规模网络攻击。

前情回顾·美以伊战争网络态势

• 美国医疗设备巨头近8万台设备所有数据被攻击者一键清空
• 从“数字前哨”到“隐形眼线”：伊以网络攻防战揭示联网摄像头已成为战争新前线
• 伊朗最高领袖之死幕后：首都摄像头、通信、基站长年被深度渗透控制
• 伊朗境内遭遇大规模网络攻击，朝拜APP被篡改“呼吁投降”｜美以联合空袭伊朗

安全内参4月9日消息，随着冲突持续升级，美国总统特朗普威胁要全面摧毁伊朗的基础设施，而伊朗似乎也以自己的方式展开报复。一项针对全美工业控制系统的黑客行动已经展开，涉及能源和水务等基础设施。美国相关机构表示，这些攻击已造成系统破坏，并带来高额经济损失。

美政府警告关基工控设施

遭规模化网络攻击

美国联邦调查局、国家安全局、能源部及网络安全和基础设施安全局等多家联邦机构发布联合警告，称一个与伊朗政府有关的黑客组织，已对多个关键基础设施中使用的工业控制设备发动攻击。

这些目标涵盖能源行业、水及污水处理系统，以及未具体说明的“政府设施”。警告称，黑客的攻击重点是可编程逻辑控制器（PLC），即用于对物理设备进行数字化控制的核心装置，其中包括工业技术公司罗克韦尔自动化销售的相关设备，其意图明显是破坏系统运行。

警告指出，黑客通过入侵这些控制器，试图篡改工业控制系统显示界面的信息，这种行为在某些情况下可能导致系统停机、设备受损，甚至引发安全事故。报告中写道，这类活动在少数情况下已经造成运营中断和财务损失，但未披露具体损失程度。

工控安全公司Dragos联合创始人兼首席执行官罗布·李表示，伊朗相关行为体一直将工业控制系统视为施压的重要目标。他透露，自上个月针对伊朗的战争爆发以来，公司已应对多起针对工业系统的攻击事件。他表示，无论是国家背景还是非国家背景的伊朗行为者，都构成了现实威胁，并表现出通过破坏系统造成人员伤害的意图。他预计，这类攻击将持续发生，并会针对所有能够获取访问权限的目标。

当外媒WIRED联系罗克韦尔自动化时，公司发言人在声明中表示，公司高度重视产品和解决方案的安全性，并已就周二的警告与政府机构保持密切协调。同时，公司已向客户发布相关指南，帮助其加强对可编程逻辑控制器的安全防护。

疑似攻击组织CyberAv3ngers具备

丰富的工控设施攻击经验

尽管该警告未明确指出具体责任方，但提到这些攻击与一个名为CyberAv3ngers的组织高度相似。该组织自2023年底以来频繁发动此类攻击，也被称为“沙希德·卡韦组织”，被认为与伊朗伊斯兰革命卫队有关。

近年来，该组织针对以色列和美国目标展开多轮行动，包括曾经入侵工业控制系统公司优尼创（Unitronics）所销售的100多台设备，这些设备主要应用于水和污水处理系统。

在上述攻击中，CyberAv3ngers将优尼创设备名称改为“加沙”，以影射以色列对该地区的军事行动，同时将设备显示界面替换为带有其标志的图像。尽管最初看似仅为象征性破坏，但多家工业网络安全公司指出，这些攻击对设备代码的篡改已足以干扰水务网络运行，影响范围从以色列延伸至爱尔兰，再到美国宾夕法尼亚州匹兹堡的相关设施。

网络安全公司Claroty首席战略官格兰特·盖耶表示，此类攻击表明伊朗伊斯兰革命卫队具备实际的工业控制系统攻击能力。他指出，从其行动模式来看，对方清楚无法在传统军事领域与对手抗衡，因此转而通过网络空间实施非对称攻击，以制造破坏。

尽管美国国务院对该组织悬赏1000万美元，美国财政部也对6名相关伊朗伊斯兰革命卫队官员实施制裁，但据Dragos披露，CyberAv3ngers在2024年仍成功入侵一家美国石油和天然气公司，并利用名为IOControl的恶意软件感染工业控制设备及物联网设备。

去年，Claroty研究员诺姆·莫谢在接受WIRED采访时表示，该组织似乎正从以传播信息为主要目的的机会主义攻击者，转变为持续性威胁。在IOControl行动中，他们试图感染各类关键资产，并长期潜伏，以备未来使用。

美以伊战争推动

国际网络威胁态势越发严峻

有关伊朗黑客破坏美国基础设施的最新动向显示，随着战争进入第二个月，相关网络攻击正在加剧。在美国和以色列对伊朗发动最初空袭之前，美国网络司令部曾公开表示，其通过网络手段瘫痪了伊朗的防御系统。

此后，伊朗的反击主要由一个名为Handala的组织实施。该组织被广泛认为与伊朗情报部有关，属于黑客行动主义团体。其发起了一系列零散攻击，包括对医疗技术公司史赛克的严重入侵，以及针对联邦调查局局长卡什·帕特尔一个较旧的个人Gmail账户的入侵与数据泄露行动。

周二上午，特朗普在其社交媒体平台Truth Social上发表强硬言论，称“今晚整个文明都将灭亡”，被视为威胁全面打击伊朗民用基础设施。随后，Handala似乎也作出回应。

当天下午，Handala在其Telegram频道发布消息称，“今晚，网络士兵和导弹士兵将为一个国家并肩作战。我们将迎来一个精彩的夜晚！”

参考资料：wired.com

推荐阅读

• 网安智库平台长期招聘兼职研究员
• 欢迎加入“安全内参热点讨论群”

点击下方卡片关注我们，

带你一起读懂网络安全 ↓

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全内参 安全内参编译 安全内参编译《能源水务等关基工控设施遭破坏性网络攻击，美国政府紧急发布警报》