2025 年 12 月最后一周,波兰能源系统遭遇了近年来规模最大的网络攻击。攻击者针对该国发电厂及能源管理基础设施部署了名为 DynoWiper 的数据擦除恶意软件,意图造成大规模停电。欧洲安全公司 ESET 在获取恶意软件样本后进行了详细分析,将其归因于俄罗斯国家背景的高级持续威胁组织 Sandworm。这起事件不仅标志着针对北约成员关键基础设施的攻击升级,也暴露出工业控制系统在面对定向破坏性攻击时的脆弱性。
攻击事件时间线与影响范围
2025 年 12 月 29 日至 30 日期间,波兰能源基础设施遭受了协调有序的网络入侵。波兰能源部长米沃萨・莫蒂卡在随后召开的新闻发布会上表示,这是 "多年来针对波兰电力系统最强大的攻击",但幸运的是攻击已被成功抵御。官方声明指出,如果攻击得逞,可能导致约 50 万波兰公民陷入停电困境。
从攻击目标的选择来看,入侵者将火力集中在了三个关键节点上。首先是两座热电联产电厂,这些设施承担着区域供热与发电的双重职能,一旦失守将直接影响城市核心区域的能源供应。其次是一套用于管理可再生能源发电的综合调度系统,该系统负责协调风力发电场与光伏电站的电力输出。这表明攻击者不仅试图瘫痪传统发电能力,还企图破坏波兰能源转型的关键基础设施,其战略意图昭然若揭。
值得注意的是,此次攻击发生的时间节点极具象征意义。2025 年 12 月恰好是 Sandworm 组织对乌克兰电网发动历史性攻击的十周年纪念日。2015 年 12 月,Sandworm 使用 BlackEnergy 恶意软件成功入侵乌克兰三家电力公司的控制系统,导致约 23 万用户经历了数小时的停电,成为首个通过恶意软件实现物理停电的攻击案例。十年后选择在这一时间窗口对波兰发动攻击,显然带有强烈的政治信号意味。
DynoWiper 恶意软件技术剖析
ESET 研究团队将这款擦除型恶意软件命名为 DynoWiper,其安全厂商检测名为 Win32/KillFiles.NMO。与传统勒索软件不同,数据擦除器的设计目标极为单一:彻底破坏目标系统上的文件结构,使其无法恢复正常运行。从 ESET 公布的分析报告来看,DynoWiper 在执行时会遍历文件系统并逐批删除或覆写关键文件,当操作完成后,操作系统将陷入不可用状态,必须通过备份恢复或完全重装才能重新启用。
这种攻击模式在工控环境中尤为致命。工业控制系统通常运行着大量定制化的配置文件、历史运行数据以及与物理设备紧密绑定的逻辑程序。一旦这些数据被擦除,恢复过程不仅涉及操作系统层面,更需要重新配置 PLC 逻辑、校准传感器参数、验证控制回路完整性,整个恢复周期可能以周甚至月计。对于依赖连续运行的电力设施而言,这种长时间的停机将造成难以估量的经济损失与社会影响。
从恶意软件开发角度来看,DynoWiper 展现了成熟攻击组织的技术水准。其代码结构经过精心设计,能够在目标环境中长期潜伏等待命令,或者在特定条件下自动触发破坏流程。这种 "休眠 - 激活" 的双阶段架构使得安全团队难以通过简单的行为监控捕捉早期入侵迹象,也为攻击者提供了充足的时间窗口来完成横向移动与权限提升。
归因方法论与 Sandworm 组织特征
ESET 研究团队基于恶意软件样本分析与攻击者战术、技术与程序(TTPs)的比对,将这起攻击归因于 Sandworm 组织,归因置信度为 "中等"。这一判断主要基于三个层面的证据链。
首先是恶意软件代码层面的关联。研究人员发现 DynoWiper 的代码结构、文件擦除算法以及加密参数设置与 Sandworm 过往使用的多款擦除型恶意软件存在高度相似性。Sandworm 组织在 2022 年俄乌冲突爆发后曾大规模部署 WhisperGate、AcidRain 等多款数据擦除器,这些恶意软件的技术特征形成了可供参考的指纹库。
其次是攻击目标选择的一致性。Sandworm 组织长期以来将关键基础设施视为优先打击对象,尤其是乌克兰及与乌克兰关系密切的北约国家能源设施。在 ESET 2025 年第二至第三季度的高级持续威胁活动报告中,研究人员就指出该组织持续对乌克兰境内的能源、水务、交通设施发动擦除型攻击。
第三是攻击时间窗口的规律性。Sandworm 组织的攻击行动往往与地缘政治事件存在时间关联。2025 年底的这次攻击发生在俄乌冲突持续深化、西方对乌援助力度加大的背景下,符合该组织以往的攻击节奏模式。
从组织归属来看,Sandworm 被普遍认为是俄罗斯军事情报局(GRU)下属 74455 部队的作战代号。该组织自 2009 年首次被发现以来,已实施了包括 2015 年乌克兰电网攻击、2017 年 NotPetya 勒索软件全球传播、2018 年平昌冬奥会开幕式攻击等一系列高影响力行动,是全球最具破坏力的国家级网络攻击力量之一。
工控系统防护策略与监控要点
面对日趋复杂的关键基础设施威胁,电力企业及能源服务商需要建立多层次的纵深防御体系。基于对 Sandworm 攻击模式的分析,以下防护策略具有直接的工程实践价值。
在网络架构层面,工业控制系统与企业管理网络必须实现物理或逻辑隔离。SCADA 系统、DCS 控制器以及关键 PLC 设备应部署在独立的防护网络中,任何跨区域的访问请求都需经过严格的身份验证与流量审计。波兰攻击事件中,攻击者能够抵达能源管理调度系统,说明边界隔离存在薄弱环节。建议对工控网络出口实施白名单控制,仅允许经过审批的特定协议与端口流量通过。
在终端防护层面,传统防病毒软件在面对定制化擦除型恶意软件时效果有限。部署专门针对工控环境的端点检测与响应解决方案,能够通过行为分析捕获异常的文件系统操作。当某个进程在短时间内尝试删除大量文件或修改系统引导配置时,应立即触发告警并触发进程隔离机制。ESET 将 DynoWiper 检测为 Win32/KillFiles.NMO 这一事实表明,基于签名的检测仍然构成防御体系的基础层,但需要与行为监控形成互补。
在日志审计层面,工控网络中的交换机、路由器以及 historian 服务器应启用完整的操作日志记录,并统一汇聚至安全信息与事件管理系统进行关联分析。擦除型攻击的典型行为特征包括:异常的文件删除事件、计划任务被创建或修改、注册表启动项被篡改、安全日志被清除等。建立针对这些特征的自动告警规则,能够将平均检测时间从数小时压缩至数分钟。
在备份恢复层面,关键配置数据的离线备份是抵御擦除攻击的最后防线。建议每周至少执行一次控制器配置、PLC 程序以及 HMI 工程的完整备份,并将备份介质存储在物理隔离的离线环境中。备份数据的有效性应每季度进行一次验证演练,确保在真实攻击场景下能够快速恢复。
地缘政治视角与长期防御态势
波兰电网攻击事件标志着俄罗斯对北约成员关键基础设施的网络攻击进入新阶段。与以往主要针对乌克兰的破坏性行动相比,直接对波兰 —— 一个深度参与对乌军事援助的北约国家 —— 发动攻击,显示出莫斯科在网络空间采取更加激进的姿态。
从攻击被成功抵御这一结果来看,波兰关键基础设施运营者展现出了较强的应急响应能力。但 ESET 研究人员的表态也暗示,部分技术细节仍在调查之中,包括攻击者的初始入侵途径、横向移动路径以及是否在目标环境中实现了持久化存在等关键问题尚未完全明朗。这些未知领域恰恰是未来防御改进的切入点。
对于全球能源行业而言,这起事件提供了几点警示。国家级攻击者正在将关键基础设施视为地缘博弈的前沿阵地,攻击目标已从信息窃取向物理破坏演进。传统的合规导向安全建设模式难以应对这种高级威胁,需要建立更加主动、更加动态的威胁情报驱动的防御体系。同时,国际社会在网络空间行为规范方面的对话与合作仍显滞后,类似事件的发生频率可能进一步上升。
资料来源:ESET Research、The Hacker News、BleepingComputer、Notes from Poland。