伊朗国家行为体针对美国水和能源基础设施的 破坏破坏性网络行动

美国政府于2026年4月7日发布联合咨询意见, 记录伊朗国家赞助的黑客明显升级了针对美国关键基础设施的网络行动。 该咨询由联邦调查局、国家安全局和独联体国家安全局发布,详细介绍了自2025年中期以来伊朗多个威胁行为体团体如何持续侵入水、废水、能源、保健、制造和信息技术部门,在美以对伊朗核设施和军事设施发动军事打击后明显加速。

已查明的威胁行动者是薄沙暴、先锋沙暴和相关分组,它们正在利用当地生活技术以及定制的恶意软件来损害工业控制系统和业务技术网络。 其业务范围已从传统的间谍活动和数据盗窃活动扩大到越来越具有破坏性的活动。 特别是,该咨询意见强调指出,成功侵入水部门系统从理论上讲可有助于操纵化学处理过程,对公共卫生和安全供水构成直接风险。

追踪这些运动的安全研究人员说,行动节奏自2026年2月左右以来明显加快,同时地缘政治对抗加剧。 这些小组展示了经改进的贸易手工艺,包括完善的持久性机制和更有效地规避终点检测系统。 其目标涵盖多个关键部门,特别侧重于监督实际流程的业务技术环境。

咨询呼吁关键基础设施的操作者在信息技术和OT环境之间实行严格的网络分割,在所有远程接入通道上实施多要素认证,维护离线数据备份,并部署能够识别工业控制网内异常活动的连续监测。 各机构没有将任何具体的破坏性后果归结于该运动,但强调扩大的TPP与以前观察到的伊朗网络行为相比是大幅升级。

该咨询意见是在美国正在中东针对伊朗核和军事资产采取军事行动的情况下发布的。 另外,微软公司披露说,与其365项服务有关的选定领域会通过已失密的SOHO路由器受到DNS劫持,这种侵入技术与政府咨询意见所述更广泛的模式一致。 实际军事行动和平行网络行动交织在一起,标志着美国关键基础设施运营商面临的威胁显著扩大。

对于水处理、发电和制造系统的操作人员而言,咨询意见明确表明国家支持的行为者既有能力也有意超越侦察,走向业务中断。 重点强调针对OT的攻击路径和有文件记载地使用适合工业环境的定制恶意软件,这表明预先定位的程度要求立即审查网络防御和事件应对能力。