各位工控运维、企业安全、政企运维同行，紧急安全预警！2026年4月7日，FBI、CISA、NSA联合发布高危安全公告AA26-097A，披露了一起伊朗国家级APT组织发起的大规模工控破坏性攻击事件。真实攻击行为集中在2026年3-4月，攻击者针对性入侵美国多州水务、能源、油气及政府关键基础设施，恶意篡改PLC工控程序，造成设备失控、业务瘫痪，带来实质性物理破坏与经济损失，为全球工控行业敲响了高危警钟。

本次攻击由伊朗伊斯兰革命卫队旗下核心APT组织主导，是典型的地缘政治驱动的国家级网络战行动，区别于普通黑产挖矿、数据窃取攻击，该组织核心目标是破坏关键民生、工业基础设施，攻击性、破坏性极强，威胁等级拉满。攻击核心针对市面主流工控设备，以罗克韦尔Allen-Bradley PLC为主要目标，同时兼容打击西门子S7系列工控设备，覆盖全球绝大多数工业、市政控制系统，影响范围极广。

据官方披露的完整攻击链路来看，本次国家级攻击并未使用高危零日漏洞，而是利用全网普遍存在的工控裸奔漏洞，门槛极低、可复制性极强。核心攻击手法十分简单粗暴：大量企业将工控设备端口直接暴露公网，设备存在无认证、默认密码、弱口令等严重安全缺陷，攻击者通过全网端口扫描，快速定位存活的PLC设备，直接绕过防护登录设备后台。

成功入侵后，攻击者会开展一系列破坏性操作：恶意篡改PLC核心控制程序、修改设备运行参数，直接导致水泵、阀门、管网等核心设备失控；同时篡改HMI/SCADA监控画面数据，伪造正常运行状态，让运维人员无法及时发现异常，延误应急处置时机。除此之外，攻击者会窃取设备组态、系统配置、网络拓扑等核心文件，完成情报驻留，为后续二次攻击、持续破坏埋下隐患。

本次攻击已造成严重的实体危害，美国多州水处理厂出现运行中断、净化系统紊乱，部分站点短暂瘫痪，直接影响区域民生供水；油气、能源站点泵站压力异常、设备频繁启停，引发设备损耗与安全生产风险；多地政府市政配套控制系统紊乱，公共服务短暂中断，行业整体经济损失惨重。

纵观本次攻击事件，暴露的安全问题和国内工控行业普遍现状高度重合，值得所有运维、安全人员高度警惕。目前大量传统工业、水务、能源企业存在严重安全短板：工控设备直接对公网映射，工控端口无封禁；设备长期使用默认密码、弱口令，从未定期轮换；工控生产网与办公网、互联网无有效隔离，缺乏工业防火墙、网闸等防护设备；同时普遍重生产、轻安全，长期不做固件更新、日志审计与设备备份，整体防护形同虚设。

网络战无国界，国家级工控攻击早已不再是域外新闻，国内大量企业在用罗克韦尔、西门子同款工控设备，面临完全一致的攻击风险。针对本次高危威胁，给出可落地的紧急防护方案。首先，立即开展全网资产自查，扫描公网暴露的PLC设备，重点排查44818、102、502等工控端口，及时关闭无用外网映射。其次，完成全量工控设备密码整改，摒弃默认密码，启用高强度复杂口令，定期轮换账号密码。

同时强化网络边界防护，严格隔离工控生产网与外网，部署工业防火墙，封禁非必要工控端口，远程运维必须依托VPN+IP白名单+多重认证机制。最后，完善日常安全机制，定期备份PLC程序与SCADA组态文件，开启设备操作日志审计，实时监测程序篡改、参数修改、异常登录等高危行为，实现风险早发现、早处置。

安全生产无侥幸，工控系统作为关键基础设施的核心命脉，一旦被入侵篡改，带来的不仅是业务中断，更可能引发重大安全生产事故。请各行业运维、安全团队即刻自查加固，补齐工控安全短板，守住工业网络安全底线。