文章总结： 2025年底波兰能源设施遭遇严重网络攻击，ESET确认使用了名为DynoWiper的擦除型恶意软件，并归因于俄罗斯相关Sandworm组织。攻击虽被阻止未致停电，但目标直指供热与配电系统，潜在影响巨大。此事件标志着破坏性攻击模式已蔓延至欧洲，波兰政府随即加速推进网络安全系统立法以加强防护。 综合评分： 87 文章分类： 威胁情报,恶意软件,安全大事件,应急响应,网络安全

俄式擦除器再现：波兰电网攻击案解析

原创

网空闲话 网空闲话

网空闲话plus

2026年1月24日 09:02 北京

2025年12月29日至30日，波兰能源基础设施遭遇一次被官方称为“多年来最严重”的网络攻击未遂事件。攻击目标包括两座热电联产电厂，以及用于管理风电、光伏等可再生能源并与配电运营商通信的关键系统。欧洲网络安全公司ESET随后确认，攻击中使用了一种数据擦除型恶意软件，并将其命名为DynoWiper。擦除器的出现，标志着该事件在性质上已从常规网络入侵升级为具有明确破坏意图的攻击尝试。ESET以“中等置信度”将该恶意活动归因于与俄罗斯相关的Sandworm行动体系，并指出其技术特征与该组织此前针对乌克兰能源系统的多起擦除器攻击高度重叠。尽管攻击被成功阻止，未造成停电，但波兰政府明确表示，若攻击得手，可能影响至少50万户家庭的供电与供暖。本案显示，针对能源系统的“俄式擦除器”攻击模式仍在持续，并已延伸至欧洲其他国家。

事件背景：2025年末针对波兰能源系统的集中攻击

根据参考材料1（扎克·惠特克，2026年1月23日）与参考材料3（波兰政府官网，2026年1月15日），网络攻击发生在2025年12月29日和30日。波兰能源部长米沃什·莫蒂卡在事后披露，攻击者以两座热电联产（CHP）电厂为明确目标，同时试图破坏可再生能源设施（包括风力涡轮机和光伏电站）与配电运营商之间的通信链路。

这一点在参考材料4中也得到印证。独立记者金·泽特指出，攻击目标涵盖了能源生产端与分布式能源管理系统，即“既发电、也调度”，而非单点设施。

莫蒂卡将该事件称为“多年来波兰能源基础设施遭受的最严重攻击”。波兰政府评估认为，若攻击成功，至少50万户家庭可能断电、断暖（参考材料1、4）。

攻击性质的关键证据：擦除型恶意软件DynoWiper

事件定性的关键转折，来自网络安全行业的技术分析。

根据参考材料2（ESET Research，2026年1月23日）与参考材料4，ESET获取并分析了攻击中使用的恶意软件样本，并将其命名为DynoWiper，其检测名称为Win32/KillFiles.NMO。

ESET与金·泽特均明确指出，DynoWiper属于数据擦除型（wiper）恶意软件。这类恶意程序的设计目的，是通过删除或覆盖系统关键文件，使计算机或服务器无法继续运行，且恢复难度极高。

金·泽特在参考材料4中援引ESET首席威胁情报研究员Robert Lipovský的话称，这类攻击在波兰“前所未有”，因为以往针对波兰的网络攻击并不具有明确的破坏性意图。

ESET的归因：基于“高度重叠”的技术证据

在攻击归因问题上，ESET给出了谨慎但明确的结论。

参考材料2中，ESET研究人员表示：“基于我们对恶意软件及相关TTP的分析，我们以中等置信度将此次攻击归因于与俄罗斯结盟的Sandworm APT，因为它与我们此前分析的多起Sandworm擦除器活动存在强重叠。”

这一判断在参考材料1和4中均被再次确认。

ESET特别强调三点事实性判断：

DynoWiper与Sandworm以往使用的擦除器在技术与行为模式上高度相似；

Sandworm长期针对能源等关键基础设施开展破坏性攻击；

目前未发现攻击造成任何成功的服务中断。

这种表述方式，既限定了证据边界，也清晰区分了“攻击意图”与“攻击结果”。

历史连续性：十年后的能源擦除器再现

参考材料1、2、4均指出了一个高度一致的事实：此次针对波兰的攻击，几乎发生在Sandworm首次攻击乌克兰电网十周年之际。

2015年12月，Sandworm使用BlackEnergy恶意软件入侵乌克兰多座变电站，导致基辅周边约23万户家庭断电（参考材料1、2）。

2016年，乌克兰能源系统再次遭遇类似但更复杂的攻击。

ESET在参考材料2中明确指出，这一时间上的重合具有显著意义，并将其视为Sandworm行动历史连续性的一部分。

波兰官方回应：防御成功，但威胁被定性为国家安全问题

根据参考材料3，波兰总理唐纳德·图斯克于2026年1月15日召集部长、安全机构负责人和能源主管部门召开会议，专题讨论该事件。

图斯克在新闻发布会上明确表示：

攻击被成功阻止，没有发生停电或系统失稳；

国家关键基础设施“从未真正受到威胁”；

但“几乎可以确定，这些攻击是由与俄罗斯相关的团体发起的”。

波兰政府随后宣布，将加快推进《国家网络安全系统法案》，强化对IT与OT系统风险管理、保护和事件响应的法律要求。

结论：擦除器再次出现的危险信号

目前可以得出一个清晰结论：

本次事件并未造成现实破坏，但攻击工具与目标指向明确的破坏性结果；

DynoWiper的使用，使其在性质上明显区别于此前针对波兰的网络活动；

ESET、波兰政府与独立记者在事实层面形成高度一致的判断框架；

“俄式擦除器”针对能源系统的攻击模式，并未因时间推移而消失。

正如本案所显示的那样，当擦除型恶意软件再次被部署于能源系统之中，其意义已远超一次未遂攻击本身。

参考资源

1、https://techcrunch.com/2026/01/23/researchers-say-russian-government-hackers-were-behind-attempted-poland-power-outage/

2、https://www.welivesecurity.com/en/eset-research/eset-research-sandworm-cyberattack-poland-power-grid-late-2025/

3、https://www.gov.pl/web/primeminister/poland-stops-cyberattacks-on-energy-infrastructure

4、https://www.zetter-zeroday.com/cyberattack-targeting-polands-energy-grid-used-a-wiper/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《俄式擦除器再现：波兰电网攻击案解析》