疑美国马萨诸塞州电力公司被黑客渗透潜伏300多天

综合Dragos报告、Darkreading、Securityweek、The Record网站2025年3月13日消息，OT网络安全公司Dragos发布报告称，黑客组织入侵了美国马萨诸塞州利特尔顿一家公用事业公司的系统，并潜伏长达10个月。该公用事业公司为利特尔顿和博克斯伯勒镇提供电力和供水服务，于2023年感恩节前夕发现系统遭入侵，随后联系Dragos进行调查。调查显示，黑客早在2023年2月就已进入系统，并进行了横向移动和数据窃取，但未涉及客户敏感数据。Dragos指出，攻击组织的目标是窃取与运营技术相关的数据，以便在冲突时实施破坏性攻击。美国执法部门认为，该组织已渗透到美国及关岛的多个关键基础设施组织，意图在危机时破坏基础设施运作。

2023年11月感恩节前夕，一场隐秘的网络攻防战在美国马萨诸塞州悄然浮出水面。据工业网络安全公司Dragos发布的报告披露，服务于利特尔顿和博克斯伯勒社区的公共电力公司——利特尔顿电灯和水务部门(LELWD)遭遇国家级黑客组织长达300余天的渗透。尽管该事件被美国联邦调查局(FBI)和网络安全与基础设施安全局(CISA)联合介入，但截至目前，LELWD官方未对事件细节作出公开回应，事件全貌仍笼罩在Dragos单方披露的技术报告中。

Dragos报告显示，攻击者自2023年2月起便潜伏于LELWD网络，通过利用面向互联网的VPN设备或防火墙漏洞实现初始渗透。攻击者采用“服务器消息块(SMB)遍历”和“远程桌面协议(RDP)横向移动”等手法，逐步向运营技术(OT)系统推进。值得注意的是，攻击者并未触发传统安全警报——据Dragos分析，其全程使用系统内置管理工具(如PowerShell)，并刻意保持低频通信流量，完美融入正常运维行为中。

在长达10个月的潜伏期内，攻击者的核心目标直指两类数据：一是电网控制指令、设备参数等OT操作程序;二是地理信息系统(GIS)中存储的电网空间布局与管线分布图。Dragos的OT Watch平台通过监测异常协议行为(如非工作时段频繁调用SMB协议)锁定了攻击痕迹，而FBI的日志审计则发现攻击者曾多次访问存储GIS数据的服务器。这一发现促使LELWD紧急调整网络架构，通过隔离OT与IT系统切断了攻击链。

二、未明的威胁：当关键基础设施成为情报战场

尽管Dragos强调“未发现客户数据泄露或物理设施受损”，但此次事件暴露出远超单次攻击的深层危机。若结合VOLTZITE(Dragos对威胁组织的命名)的历史行踪，其战略意图逐渐清晰——这家被美国官方认定为“与政府存在关联”的黑客组织，正系统性绘制美国关键基础设施的数字地图。

潜在的地缘政治风险：Dragos在报告中指出，VOLTZITE近年频繁瞄准关岛军事基地、应急管理机构及电信网络，其攻击模式具有鲜明的“战场预置”特征。电力系统的GIS数据包含变电站坐标、输电线走向等敏感信息，一旦与军事设施的地理位置叠加，可能为未来冲突中的精确打击提供坐标参考。美国战略与国际研究中心(CSIS)2024年报告曾警告，此类数据若流入敌对国家手中，将大幅提升“数字珍珠港”事件的可能性。

中小型公共事业的脆弱性：LELWD事件折射出美国电力行业的结构性弱点——全美近3000家小型公共事业公司中，超过70%缺乏专职网络安全团队，OT系统普遍与IT网络混用。攻击者显然嗅到了这一短板：据Dragos监测，2023年至2024年，针对中小型电力公司的定向渗透尝试同比增长240%。这类“软目标”一旦失守，可能成为攻击大型电网的跳板。

技术民主化的双刃剑：值得警惕的是，Dragos报告中提及的攻击手法并无“高精尖”技术色彩。攻击者通过劫持家用路由器构建代理僵尸网络，利用公开漏洞渗透边界设备，全程使用合法工具规避检测。这种“低技术、高耐心”的战术，使得防御方难以依赖传统安全产品应对，却为更多攻击者提供了可复制的模板。

三、攻击者画像：暗影中的“工控猎人”

尽管LELWD事件缺乏官方定论，但Dragos的威胁情报拼图揭示了VOLTZITE这一组织的独特轮廓：

国家级支持的战术特征：不同于以勒索赎金为目标的犯罪团伙，VOLTZITE表现出极强的战略耐心与情报导向性。其攻击周期常以“月”而非“天”为单位，目标数据高度聚焦于工业控制系统参数与地理情报。Dragos追踪发现，该组织近三年攻击的37个目标中，89%为能源、交通、水利等关键基础设施，且无一例勒索记录——这种“非牟利性”特征被视为国家级黑客组织的典型标志。

“融于日常”的隐蔽哲学：攻击者深谙工业网络运维规律，刻意将恶意活动伪装成日常操作。例如，在LELWD事件中，攻击者选择电网负荷较低的夜间时段进行横向移动，使用RDP协议时严格模仿运维人员的登录地点与账号权限。这种“行为克隆”策略，使得基于规则的传统检测手段完全失效。

供应链攻击的阴影：Dragos报告还暗示，VOLTZITE可能通过渗透设备供应商植入后门。2023年5月，该组织被曝利用Juniper MX路由器的零日漏洞攻击美国电信公司，而LELWD的网络中同样存在多台该型号设备。尽管尚无直接证据表明两者关联，但工业设备的漫长生命周期(常达15-20年)与缓慢的补丁节奏，为攻击者提供了天然温床。

四、防御觉醒：从“合规清单”到“战时思维”

LELWD事件如同一面棱镜，折射出关键基础设施防御范式的转型迫在眉睫。Dragos在报告中提出，工业网络安全需超越“打补丁、做等保”的静态模式，转而构建动态威胁驱动的防御体系。

看得见：OT资产的数字镜像：工业环境的特殊性在于，一台1980年代的老旧PLC可能仍控制着关键阀门。Dragos建议企业借助自动化工具建立实时资产清单，不仅要识别设备型号与IP地址，还需映射其通信关系与控制逻辑。LELWD正是通过此类工具，在48小时内锁定了被篡改的GIS服务器。

拦得住：最小特权与微隔离：将OT网络划分为多个安全域，限制跨区域通信。例如，SCADA系统仅允许与特定PLC通过Modbus协议通信，且流量需经工业防火墙深度检测。这种“微隔离”策略，可有效遏制类似事件中攻击者的横向移动。

学得会：威胁情报驱动的响应：防御者需建立与国家级APT对抗的认知框架。Dragos的OT Watch服务之所以能在LELWD事件中快速响应，关键在于其全球威胁情报库中存有VOLTZITE的战术指纹。当监测到SMB协议异常遍历模式时，系统自动比对数万起历史事件，将威胁评级从“可疑”提升至“高危”。

练得精：工业红蓝对抗常态化：纸上谈兵的应急预案难抵真实攻击。2024年起，美国能源部要求关键电力企业每季度开展“断网演练”，模拟OT系统全面瘫痪下的应急供电。LELWD在事件后加入了此类计划，通过模拟攻击者渗透GIS系统的场景，测试了从流量分析到物理隔离的全链条响应。

结语：在真相与迷雾之间

尽管Dragos的报告为公众打开了一扇窥视关键基础设施攻防战的窗口，但事件的诸多细节仍隐于迷雾——LELWD的沉默、攻击者的真实归属、未被披露的漏洞细节，都在提醒我们：这是一场没有旁观者的战争。当电力、水利、交通等系统日益数字化，防御者的每一处疏忽，都可能成为照亮攻击者枪口的灯塔。或许，比追问“发生了什么”更紧迫的，是思考“下一次如何幸存”。

参考资源

1、https://www.darkreading.com/cyberattacks-data-breaches/volt-typhoon-strikes-massachusetts-power-utility

2、https://www.securityweek.com/chinas-volt-typhoon-hackers-dwelled-in-us-electric-grid-for-300-days/

3、https://therecord.media/volt-typhoon-hackers-utility-months

4、https://www.dragos.com/wp-content/uploads/2025/03/Dragos_Littleton_Electric_Water_CaseStudy.pdf

来源：网空闲话plus