文章总结： 俄罗斯黑客组织Sandworm利用新型擦除恶意软件DynoWiper攻击波兰电力及新能源管理系统，该软件通过底层破坏导致数据不可逆丢失。攻击虽被拦截，但揭示了OT安全防线脆弱性。建议企业加强离线冷备份建设，严格管控供应链安全，并通过日志审计防范潜伏攻击。 综合评分： 83 文章分类： 威胁情报,恶意软件,安全大事件,漏洞分析,供应链安全

2015乌克兰大停电的噩梦重演？这次是DynoWiper，目标直指新能源中枢

原创

Kit Chung Kit Chung

安全圈动向

2026年1月28日 07:59 广东

摘要： Sandworm（沙虫）组织在沉寂许久后，于2025年底对波兰电力系统发起了“近年来最强”的网络攻击。十年轮回，从BlackEnergy到最新的DynoWiper，攻击手段全面升级。

大家好，还记得2015年那个寒冷的冬天吗？乌克兰伊万诺-弗兰科夫斯克地区突然陷入一片黑暗，23万人在零下的大雪中失去了电力供应。那是全球网络安全史上的“至暗时刻”——黑客首次成功通过网络攻击导致大规模物理电网瘫痪。

那个幕后黑手，就是让所有工控安全人员闻风丧胆的俄罗斯国家级黑客组织——Sandworm（沙虫）。

整整十年过去了。就在刚刚过去的2025年12月底，波兰能源部长 Milosz Motyka 披露了一个惊人的消息：这个家伙又回来了。

这一次，他们试图对波兰的电力系统发起“近年来最强”的攻击。虽然攻击最终被拦截，但其中暴露出的技术细节，特别是那个首次曝光的新型恶意软件——DynoWiper，足以让我们这些搞IT和安全的后怕。

今天，就带大家扒一扒这次事件背后的技术细节。

01 十年之约：从BlackEnergy到DynoWiper

这次攻击的时间点选得让人细思极恐——恰好是Sandworm攻击乌克兰电网十周年纪念日。

当年，他们利用带有宏病毒的Excel文件投放了 BlackEnergy 木马，随后植入了破坏数据的 KillDisk 组件，暴力擦除了系统扇区，导致系统无法启动。

而在2025年12月29日针对波兰的这次行动中，根据ESET的最新报告，Sandworm部署了一款此前从未被记录过的Wiper恶意软件，代号 DynoWiper (又名 Win32/KillFiles.NMO)。

技术敲黑板：Wiper vs Ransomware

很多朋友容易混淆这两个概念。Wiper（擦除器） 和我们常见的 Ransomware（勒索软件） 有着本质的区别：

• 勒索软件

  是为了钱，它加密数据，你交了赎金理论上还能拿回来；

• Wiper

  则是纯粹的“恶意”，它的目的只有一个——毁灭。它不求财，只求破坏业务连续性，让系统彻底瘫痪且无法恢复。

虽然ESET目前尚未公开完整的逆向代码，但从Sandworm以往的手法（比如 HermeticWiper 和 PathWiper）来看，DynoWiper 极有可能采用了直接操作 物理磁盘扇区（Raw Disk Access） 或 破坏MFT（主文件表） 的技术。这种底层的破坏往往能绕过操作系统层面的保护，一旦触发，数据恢复的概率几乎为零。

02 攻击升级：直指OT与新能源心脏

这几年的工控安全（OT Security）之所以难做，是因为攻击者的目标越来越精准，甚至可以说越来越“懂业务”。

波兰政府披露，这次被盯上的目标主要有两类：

1. 两座热电联产（CHP）工厂

   这是城市供暖和供电的核心。

2. 可再生能源管理系统

   这才是最要命的。这套系统负责管理风力涡轮机和光伏农场。

大家可能觉得黑掉一个管理系统没什么，但这在电力行业意味着极大的风险。

注： 现在的电网非常依赖自动化调度。如果攻击者通过控制管理系统，瞬间切断大规模的风电或光伏输入，或者注入错误的频率数据，极有可能导致整个电网的频率震荡，进而触发连锁跳闸，造成大面积停电。这已经不是简单的“黑掉一台服务器”，而是直接针对 OT（运营技术） 域的降维打击。

03 技术的博弈：为什么这次没得逞？

值得庆幸的是，波兰方面表示这次攻击是“不成功的”。但这并不意味着Sandworm变弱了，而是防御方的态势感知能力提升了。

这里有几个关键的技术对抗点：

• 流量侧的异常检测：

  Sandworm的很多操作（如横向移动、C2通信）虽然使用了复杂的混淆技术，但依然在流量侧留下了蛛丝马迹。

• Wiper特征库的即时更新：

  虽然 DynoWiper 是新的，但 Cisco Talos 和 ESET 等安全厂商在过去一年（特别是2025年6月至9月）已经捕获了多个类似的变种（如 ZEROLOT, Sting, PathWiper）。这些样本的行为特征（Behavioral Patterns）——例如特定的API调用序列、文件遍历逻辑——存在重叠，这为防御方提供了预警。

波兰总理唐纳德·图斯克也提到，正在准备新的网络安全立法，对风险管理和事件响应提出更严格的要求。这说明在国家层面，IT（信息技术）和OT（运营技术）的边界正在被打通，防御体系正在体系化。

04 给我们的启示

作为技术人，看着大洋彼岸的这场攻防战，我们不能只做吃瓜群众。Sandworm的攻击手法一直是业界的风向标。

第一，警惕 Wiper 的泛滥。 从2022年俄乌冲突开始，数据擦除类恶意软件的使用率飙升。如果你的公司涉及关键业务数据，冷备份（Cold Backup） 和 离线备份 是最后的救命稻草。别指望快照，Wiper 连快照一起删。

第二，关注供应链与第三方系统。 这次攻击针对的是新能源管理系统，往往这类系统由第三方供应商维护，是安全防线的薄弱环节。

第三，日志审计不能停。 Sandworm 擅长潜伏（Living off the Land），利用系统自带工具（如PowerShell, WMI）进行攻击。没有详细的日志审计，你根本发现不了他们已经进来了。

写在最后

十年前的BlackEnergy让我们认识到了物理隔离并非绝对安全；十年后的DynoWiper再次提醒我们，在数字战争的阴影下，没有谁能独善其身。

技术在进步，黑客也在进化。作为守护者，我们唯有保持敏锐，时刻准备着。

💬 今日互动

你所在的团队有针对 Wiper（擦除型）恶意软件做过专门的灾备演练吗？

欢迎在评论区聊聊你的看法 👇

*本文技术细节参考自 ESET 及波兰政府官方披露报告

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung Kit Chung《2015乌克兰大停电的噩梦重演？这次是DynoWiper，目标直指新能源中枢》