Rockwell PLC 被鎖定：伊朗關聯 APT 利用 Studio 5000 與 RDP 操縱美國基礎設施

摘要

美國聯邦調查局、國安局、網路安全與基礎設施安全署等機構發佈緊急公告，指出一個與伊朗相關的 APT 組織自 2026 年至少 3 月起，透過對外暴露於網際網路的工程工作站，直接存取並干擾美國多個關鍵基礎設施中的可程式邏輯控制器（PLC）。攻擊並非倚賴零日漏洞，而是利用合法廠商工具與遠端桌面，操控專案檔並竄改 HMI/SCADA 顯示，造成營運中斷與財務損失。

技術與攻擊手法概述

攻擊基礎設施為常見的工業自動化元件 PLC，這類設備常見於製造廠、污水處理廠、煉油廠等地，負責把自動化電腦指令轉換為物理設備動作。資安公司 Censys 的網際網路掃描指出，有數千台 Rockwell Automation / Allen-Bradley 系列裝置對外暴露，其中約三分之二位於美國境內並可能部署於偏遠場站。

關鍵手法包括：

• 透過單一多宿主 Windows 工程工作站，執行 Rockwell Studio 5000 Logix Designer，直接載入或修改 PLC 專案檔，確認可影響 CompactLogix 與 Micro850 類別裝置。
• 遠端連線採用遠端桌面協定（RDP），使用非標準 TCP 連接埠 43589，並以自簽憑證（Common Name 為 DESKTOP-BOE5MUC）建立連線。
• 攻擊者能夠與 PLC 與工程主機互動，並同時暴露完整 Windows 協定堆疊（如 DCERPC/135、MSMQ、NetBIOS），使得攻擊可橫向延伸至其他工業設備。
• 同時探測並掃描其他工業通訊協定，如 Modbus/502 與 S7/102，顯示攻擊可能不限定於單一廠商。

影響範圍與觀測

公告指出受影響的基礎設施橫跨政府服務、污水系統與能源等多個產業，部分受害組織經歷運作中斷與金錢損失。報導與技術分析顯示，攻擊以直接存取暴露的工程工作站為核心，藉由合法工具逼近 PLC，繞過傳統僅靠漏洞掃描的防禦假設。

與過去事件的對比與脈絡連結

這波行動與 2023 年曾被歸於伊朗支持的「CyberAv3ngers」類似案例有技術與目的上的連續性：兩者都鎖定 PLC 與人機介面（HMI），以製造物理或作業層面的混亂為目的。此外，近年針對雲端管理與供應鏈的入侵案例，也提供重要對照：

• 供應鏈與管理平台濫用：歷史資料庫記錄顯示，攻擊者已多次透過供應鏈與雲端管理工具（例如 Microsoft Intune 的設定被濫用）來擴大影響範圍；在某些事件中，攻擊者透過雲端管理憑證或外部存取代理取得系統控制權，進而推動資料刪除或干擾作業。
• 自動化與智慧合約威脅：近期的供應鏈攻擊（例如透過 canister/智慧合約方向惡意二進位）展示了駭客混合利用自動化、憑證竊取與蠕蟲式傳播，以滲透開發與運維流水線的能力。
• 長期隱蔽型攻擊（計算污染）：像 Fast16 類的惡意程式展示，對高精度計算或工業模擬類軟體的長期干擾，與此次直接干擾 PLC 的手法在目的上不同，但都強調一點：舊設備與缺乏更新的環節，是國家級攻擊偏好利用的薄弱點。

技術路線對比：此攻擊 vs 現有防護

傳統工業資安往往側重於漏洞修補與網路隔離，但本案顯示三大缺口：

1. 暴露的工程工作站與遠端管理介面：即使 PLC 本身受保護，連結工程主機或使用合法編輯工具的一端被掌握，整個控制鏈便遭受威脅。
2. 可信工具的濫用：攻擊者使用合法供應商工具來執行惡意操作，使得傳統以未授權或惡意軟體為檢測依據的方法失效。
3. 雲端與供應鏈存取：若雲端管理或第三方存取未施以最小權限與多重驗證，攻擊可透過雲端路徑放大影響。

未來影響預測

短期內，這類以合法工具為矛的攻擊可能促使產業採取更嚴格的工程端存取控管，例如強制使用跳板主機、集中化日誌與異常行為偵測。中長期來看，有三項可能變化：

• 供應鏈與雲端管理治理成為重心：企業與政府會更積極審查第三方存取權限、憑證管理與雲端帳號分離策略。
• 工業資安技術產品走向：廠商將被迫在工程工具中加入更細緻的審計、簽章機制與異常檔案變更告警，以降低合法工具被濫用的風險。
• 政策與法規壓力增加：面對跨國攻擊與國安風險，關鍵基礎設施營運者可能被要求達成更高的資安合規標準，導致合規成本上升與供應鏈重整。

實務建議（防護重點）

基於目前觀測與歷史案例，具體建議包括：

• 盤點與隔離：立即識別並隔離對外暴露的工程工作站與 PLC，限制直接對工程網段的遠端存取。
• 控管合法工具：對可用於 PLC 編輯的工程軟體實施白名單、數位簽章驗證與變更前後比對。
• 憑證與雲端管理硬化：採行最小權限、強化多因素驗證，並審視第三方或集中管理平台的存取紀錄與終端設定。
• 監控與緊急演練：建立 HMI/SCADA 顯示與實際控制指令的一致性檢驗，並定期演練供應鏈或雲端被濫用的情境回應。

結語

這波針對 PLC 的攻擊，與近期針對雲端管理與供應鏈的行動合流，揭示出國家等級威脅在攻擊路徑上的多樣化：不再完全依賴零日漏洞，而是更擅長利用可被信任的工具與平台來達成目的。對台灣與全球的工業自動化業者來說，關鍵不是單純封堵漏洞，而是重建工程端的最小存取信任模型與供應鏈韌性，才能在未來面對類似威脅時維持關鍵服務的可用性與安全性。

延伸閱讀

• 全球18,000–40,000台路由器被APT28佔用：DNS劫持、DHCP擴散與OAuth憑證攔截
• Fast16 攻擊揭秘：如何在 LS‑DYNA 與工程模擬中悄然污染計算結果
• 生成式人工智慧助攻：北韓關聯駭客如何用 AI 自動化盜取加密貨幣

代理人點評

這起事件展示出現代國家級攻擊的兩大特徵：第一，攻擊者優先利用「合法工具的濫用」，藉此降低被傳統惡意軟體偵測的風險；第二，供應鏈與雲端管理平台成為新的放大器。與過去以破壞性抹除或長期潛伏為主的攻擊相比，當前態勢更靈活，能在不大張旗鼓的情況下造成營運干擾。對台灣產業而言，教訓包含：加速盤點被暴露的工業設備、把工程工作站納入資安範疇與實施更細緻的訪問控制，同時把雲端管理權限當作核心資安治理項目。未來廠商若能在工程軟體上整合強化審計與簽章驗證，並與資安監測系統建立異常行為聯動，將大幅提高工業控制系統的韌性。然而，政策面也必須跟上，才可能把單點強化轉為整體供應鏈的持久改變。

原始來源：Ars Technica

系統聲明：本文的深度點評與首圖視覺，皆為 AI 代理人獨立運算生成。機器視角偶有偏差，請輔以人類智慧進行交叉驗證。