2025 年 12 月最后一周,波兰能源系统遭遇了近年来针对该国规模最大的网络攻击。安全研究公司 ESET 溯源分析后确认,攻击者使用了此前从未曝光的数据擦除型恶意软件,并将其命名为 DynoWiper。更值得关注的是,这次攻击的幕后主使被归因至俄罗斯军事情报部门格鲁乌(GRU)旗下臭名昭著的网络战单位 Sandworm。该事件标志着针对北约成员国的关键基础设施攻击烈度正在系统性升级。
攻击时间线与影响范围
此次协调性网络攻击发生在 2025 年 12 月 29 日至 30 日,正值欧洲冬季用电高峰。攻击目标涵盖两家热电厂以及连接风电场与国家电网的通信系统。波兰官员事后披露,若攻击得逞,最多可能导致 50 万户家庭在严寒中失去供暖与电力供应。这是波兰有记录以来针对其能源基础设施最为严重的一次网络入侵,尽管最终被成功阻断,但其攻击手法与技术复杂度均属罕见。
值得注意的是,这次攻击的时间节点极具象征意义 —— 恰好是 Sandworm 于 2015 年首次利用恶意软件导致乌克兰电网大规模停电事件的十周年纪念日。那次攻击使用了 BlackEnergy 恶意软件,造成约 23 万用户断电长达数小时,被视为首例由恶意软件直接引发的电网瘫痪事件。十年后,Sandworm 将攻击矛头指向了北约成员国波兰,攻击意图与技术水平均呈现明显进化。
DynoWiper 恶意软件技术剖析
ESET 研究团队将这款擦除型恶意软件命名为 DynoWiper,其安全产品对其的检测命名为 Win32/KillFiles.NMO。该样本的哈希值已被公开:SHA-1 为 4EC3C90846AF6B79EE1A5188EEFA3FD21F6D4CF6,安全从业者可根据此指标进行威胁情报匹配与网络监测。
从功能定位而言,wiper 恶意软件与勒索软件存在本质区别。勒索软件的核心目的是加密受害者数据并索取赎金,数据本身通常仍可恢复;而 wiper 的设计目标则是彻底破坏或永久擦除数据,使系统无法恢复。ESET 研究人员指出,DynoWiper 的开发者在代码实现与攻击流程设计上展现出对目标环境的高度适应性,表明攻击者事前进行了充分的侦察与情报收集工作。
根据 ESET 的 APT 活动报告,Sandworm 在 2025 年第二至第三季度期间,持续对乌克兰目标发动定期的擦除型攻击。这种高频实战演练使其技术能力得到持续迭代与优化,而 DynoWiper 很可能是这一系列攻击中技术成熟度最高的变种。攻击者采用了多阶段投递、权限维持与最终数据销毁的完整攻击链模式,与传统的机会型网络犯罪形成鲜明对比。
Sandworm 组织背景与攻击模式演进
Sandworm Team(组织编号 G0034)是 MITRE ATT&CK 框架中记录最为详尽的威胁组织之一,长期被归因于俄罗斯联邦武装力量总参谋部情报局(GRU)下属的特殊技术中心(GTsST),即著名的 74455 部队。该组织的攻击历史可追溯至 2009 年,但真正使其臭名昭著的是 2015 年和 2016 年对乌克兰电网的连续攻击。
2020 年,美国司法部对 GRU 74455 部队的六名成员提起公诉,指控其参与了包括乌克兰电网攻击、2017 年全球 NotPetya 攻击、2018 年平昌冬奥会 Olympic Destroyer 攻击等在内的多起重大网络行动。Sandworm 的攻击偏好倾向于具备地缘政治敏感性的关键基础设施目标,其行动往往与俄罗斯的外交政策目标高度同步。
在 MITRE ATT&CK 框架中,Sandworm 涉及的技术矩阵极为庞大,涵盖初始访问阶段的钓鱼邮件与供应链投毒、执行阶段的合法系统工具滥用、持久化阶段的注册表修改与计划任务创建、防御规避阶段的进程注入与代码混淆,以及影响阶段的破坏性数据擦除等完整链条。对于关键基础设施运营商而言,理解这一攻击模式对于构建纵深防御体系具有直接的实战价值。
关键基础设施防御策略建议
面对国家级 APT 组织的有组织攻击,能源行业从业者需要从技术、管理与应急三个维度重构防御体系。首先,在网络架构层面,必须实现信息技术(IT)网络与运营技术(OT)网络的严格隔离。风电场与光伏电站的远程通信链路应采用专用加密通道,并实施双向认证机制,避免直接暴露于公共互联网。
其次,在终端防护层面,传统基于特征签名的防病毒软件对于高度定制化的 wiper 恶意软件检测能力有限。部署行为监控与异常行为分析(UEBA)系统变得尤为重要 —— 当系统进程尝试批量擦除文件、修改主引导记录(MBR)或访问从未接触过的系统目录时,应触发高优先级告警并自动阻断可疑进程。
第三,在数据恢复层面,关键配置数据库与历史运行数据必须实现离线备份,且备份介质应存储在物理隔离的安全区域。鉴于 wiper 攻击可能覆盖网络附加存储(NAS)与云同步目录,备份策略必须遵循 3-2-1 原则:至少三份副本、两种存储介质、一份离线保存。
最后,在威胁情报共享层面,ESET 等安全厂商已公开 DynoWiper 的技术指标与攻击特征,能源企业应将这些指标整合至本地的入侵检测系统与安全信息与事件管理(SIEM)平台。行业层面的信息共享机制 —— 如电力行业的信息共享与分析中心(ISAC)—— 能够有效缩短威胁情报的响应周期,形成集体防御态势。
地缘政治背景下的安全态势演变
此次波兰电网攻击事件的战略意义远超单一技术事件本身。它表明俄罗斯的网络战能力正在从乌克兰战场向更广泛的欧洲目标延伸,北约成员国的关键基础设施已成为现实威胁目标。波兰作为乌克兰的邻国与主要军援中转站,长期处于俄罗斯网络行动的密切关注之下。
从攻击时机来看,选择在圣诞假期与新年交接期间发动攻击具有明显的战术考量 —— 运维人员配置相对薄弱、应急响应速度可能下降。这种时机选择与 Sandworm 此前的攻击模式高度吻合,体现了其对目标组织运营节奏的深入理解。
可以预见的是,针对欧洲能源基础设施的此类攻击在未来可能呈现常态化趋势。关键基础设施运营方必须摒弃「低风险侥幸」心态,将网络安全投入提升至与物理安全同等重要的战略层级。唯有如此,方能在国家级攻击者的持续压力下守护公众生活与社会运转的基本稳定。
参考资料
- ESET Research: Sandworm behind cyberattack on Poland's power grid in late 2025 (https://www.welivesecurity.com/en/eset-research/eset-research-sandworm-cyberattack-poland-power-grid-late-2025/)
- Kim Zetter, Cyberattack Targeting Poland's Energy Grid Used a Wiper (https://www.zetter-zeroday.com/cyberattack-targeting-polands-energy-grid-used-a-wiper/)
- MITRE ATT&CK, Sandworm Team (https://attack.mitre.org/groups/G0034/)