CyberAv3ngers近年来之所以受到广泛关注,核心原因在于其被认为并非一般意义上的黑客团伙,而是一个带有明显政治属性和国家背景色彩的攻击实体。
从公开信息来看,美国财政部曾对与该组织相关的伊朗网络行为者实施制裁,并明确指出其与针对美国及其他国家关键基础设施的网络活动相关。尤其是在针对供水设施、工业控制设备和互联网暴露的 PLC/HMI 设备的案例中,CyberAv3ngers 被视为代表性攻击者之一。
- 从行为模式上看,CyberAv3ngers 与传统勒索软件组织有明显区别,其目标更偏向高象征价值的关键设施
-
其攻击路径往往瞄准现实可利用的薄弱点,而非一味依赖高复杂度 0day
这说明,CyberAv3ngers 的危险性体现在善于利用关键基础设施中长期存在、但迟迟未彻底解决的基础安全短板,以较低成本制造高影响事件。
二、事件发展线
结合美国财政部制裁公告、媒体公开报道及安全机构披露信息,CyberAv3ngers 针对美国关键基础设施的代表性事件时间脉络大致可梳理如下:
2.1 美国官方联合预警,威胁被认定仍在持续
就此次威胁态势,美国官方机构已发布联合安全预警。根据 CISA、FBI、DC3 和 NSA 的通报,与伊朗相关的网络行为者可能将美国关键基础设施及其他美国实体作为潜在攻击目标,并可能实施恶意网络活动。相关预警还特别点名了若干高风险对象,显示出美方对相关威胁外溢风险的高度关注。(1)美国关键基础设施(2)国防工业基础(DIB)企业(3)与以色列研究、防务企业存在关系的美国机构。
并且,攻击者并没有使用复杂的0day漏洞,也没有部署在国家支持实验室中设计的新型恶意软件。只是在网上搜索仍在运行出厂默认凭证的Unitronics Vision和Samba系列PLC。并且效果显著。
2.2 威胁扩大,行业开始聚焦OT基础治理问题
在2024年相关事件持续发酵后,行业关注点开始从“是谁干的”开始转向“为什么容易被入侵进去”。由于OT/ICS 安全领域普遍的几个问题,(1)工控设备直接暴露互联网(2)默认密码长期未修改(3)远程维护入口失管(4)第三方运维审计不足(5)边缘站点和地方设施安全能力薄弱。CyberAv3ngers 所代表的威胁模型被越来越多地理解为一种典型模式。利用低门槛安全短板,撬动高价值关键基础设施目标。
2.3 事件公开,美国政府制裁与归因升级
2024年初,围绕美国水务设施和工业控制设备的相关事件进一步发酵。攻击者被指成功访问部分工业控制设备界面,并进行HMI篡改、政治性留名或干扰性操作。事件曝光后,Unitronics 等工业设备公网暴露与默认密码问题被广泛讨论。2024年2月,美国财政部 OFAC 对与 CyberAv3ngers 相关的伊朗网络行为者实施制裁。这标志着该事件从单一安
全事件,上升为美国国家安全与关键基础设施防护问题。
2.4 中东局势外溢与伊朗相关网络威胁升温
从2023年开始,随着中东局势持续紧张,伊朗关联黑客组织对美国及盟友关键基础设施的网络威胁逐步升温。这一阶段,攻击者开始更多关注供水、污水处理、工业控制设备和互联网暴露的OT资产。公开案例中,部分美国水务相关设施所使用的工业控制设备因默认密码、弱口令、公网暴露等问题成为攻击入口。CyberAv3ngers 也正是在这一阶段被广泛关注,其活动逐渐从一般性政治宣示向关键基础设施威慑转变。
三、攻击者TTPs分析:CyberAv3ngers是如何实施此类攻击的
3.1 目标选择:主要瞄准高影响弱防护设施
CyberAv3ngers的攻击目标并不一定是最复杂的系统,而是更偏向于选择社会影响大、政治象征强、防护相对薄弱的关键基础设施节点,例如供水设施、油气站点和互联网暴露的工业控制设备。其核心目的不仅是入侵系统,更是通过高敏感目标制造现实威慑和舆论影响。
3.2 攻击方式:利用默认密码与公网暴露
该组织最典型的技术路径包括(1)扫描互联网暴露的 PLC、HMI 和远程管理接口(2)识别 Unitronics Vision、Samba 系列等工业控制设备(3)尝试设备出厂默认密码或常见弱口(4)利用未修补的已知漏洞或配置缺陷获取访问权(5)进入控制界面后实施篡改、留名或中断性操作。此类攻击并不复杂,主要利用关键基础设施中长期存在的基础安全短板完成突破。
3.3 攻击流程:从发现资产到快速放大影响
CyberAv3ngers的操作流程通常表现为:(1)发现暴露在公网的工业控制资产(2)尝试默认凭据或简单认证绕过(3)获取 PLC/HMI 的登录权限(4)篡改界面、展示政治信息或制造设备离线(5)借助公开传播放大事件影响
四、攻击者画像
4.1 偏好高影响关键基础设施目标
该组织更倾向于选择供水、油气、工业控制等关键基础设施领域实施攻击。这类目标虽然不一定防护最强,但一旦发生入侵,更容易引发公共关注和政治放大效应。
4.2 具有明显国家背景色彩
公开归因信息显示,CyberAv3ngers 被认为与伊朗相关网络力量存在联系,并被美国政府与伊朗伊斯兰革命卫队网络体系关联。其行动目标和行动时机均体现出较强的地缘政治属性.
4.3 攻击手法以基础弱点利用为主
CyberAv3ngers并不总是依赖高复杂度技术,而是大量利用默认密码、弱口令、公网暴露和已知漏洞等常见薄弱点完成突破,体现出明显的低成本、高效率特点。
4.4 兼具攻击、宣传与威慑目的
CyberAv3ngers其行动往往不止于获取访问权限,还会通过篡改界面、留下政治信息、制造系统中断等方式放大事件影响,服务于政治表达和战略威慑。
五、事件暴露出的深层次问题
5.1 默认密码仍是关键基础设施的常见短板
CyberAv3ngers事件再次说明,在部分关键基础设施场景中,默认密码、弱口令和基础认证机制薄弱的问题依然普遍存在。攻击者并未必依赖复杂漏洞或高阶攻击能力,仅凭出厂凭据、简单口令或配置缺陷,就可能直接进入工业控制设备和管理界面。这意味着,一些本应在建设和运维初期就被消除的基础性问题,至今仍在现实环境中构成高风险入口。
5.2 OT 资产公网暴露问题
从公开披露情况看,被攻击的设备往往具备一个共同特点,即工业控制资产直接或间接暴露在互联网环境中。对于 PLC、HMI、远程维护接口等 OT 设备而言,一旦公网可达,其风险将被成倍放大。很多情况下,真正的问题并不是攻击者能力过强,而是高敏感设备长期处于不合理的网络暴露状态,使得攻击门槛被大幅降低。
5.3 OT安全现实仍有落差
CyberAv3ngers事件所暴露的另一个问题,是许多组织对 OT 安全的理解仍停留在传统 IT 安全框架中。然而,工业控制系统的风险并不仅仅是数据泄露或主机失陷,更包括设备控制、过程干扰、业务中断和物理后果。对于关键基础设施而言,安全问题一旦从信息系统层面延伸到控制层面,其影响范围将远超普通网络事件。
5.4 低门槛攻击也能造成高影响
CyberAv3ngers事件说明,关键基础设施面临的威胁未必都来自高度复杂的定制化攻击。很多时候,真正危险的恰恰是那些依赖常见弱点、复制成本低、实施速度快的攻击方式。对于防守方而言,这意味着风险判断不能只盯着“高级威胁”,更要警惕那些看似简单、实则足以造成现实后果的基础型攻击。
六、防御建议
6.1 消除默认密码、弱口令和共享账号问题
默认凭据和弱认证仍然是工业控制环境中最危险、也最容易被利用的入口之一。对于 PLC、HMI、网关、远程运维平台和各类工业网络设备,应全面梳理账号体系,及时更改出厂默认密码,清理长期未使用账号,杜绝多人共用高权限账号的情况。对于关键操作界面和远程访问入口,还应尽可能引入多因素认证、口令复杂度策略和最小权限控制机制,避免因单一口令失守造成整体失陷。
6.2 严格治理 OT 资产公网暴露
关键基础设施中的 OT 资产原则上不应直接暴露在公网环境中。对于确因业务需要而保留的远程访问能力,也应通过专用接入、白名单、跳板机、VPN、访问时间控制等方式进行限制,而不能让控制设备、管理界面或维护端口直接互联网可达。组织应建立面向 OT 资产的常态化暴露面排查机制,持续识别哪些设备“看得见、连得上、控得到”,并将其作为基础安全治理的优先事项.
6.3 推动 IT 与 OT 网络分区隔离
OT环境不能简单沿用传统 IT 网络的开放连接方式。对关键基础设施而言,应按照业务功能、控制层级和风险等级,对办公网、生产管理网、控制网和现场设备层进行清晰分区,并通过边界访问控制、工业防火墙、单
向隔离或安全网关等方式限制横向移动路径。只有把网络边界真正建立起来,攻击者即便进入外围环境,也难以轻易触达核心控制系统。
6.4 将资产盘点和暴露面管理作为长期工作
很多关键基础设施单位的问题并不是“没有防护产品”,而是连资产底数都不完全清楚。哪些设备还在使用默认配置、哪些接口仍在公网开放、哪些控制终端缺乏统一管理,往往并没有被持续掌握。因此,资产识别、分级分类、版本管理和暴露面治理应成为长期机制,而不是事件发生后才启动的临时工作。只有先看清系统,才能真正谈得上有效防守。
6.5 从“事件应对”转向“体系防护”
关键基础设施安全不能依赖临时修补和事后补救。真正有效的防护,不是等攻击发生后再逐项排查,而是事先建立起覆盖身份管理、网络边界、暴露面控制、日志审计、异常检测、应急处置和恢复演练的体系化能力。
