文章总结： 本文详述俄罗斯Sandworm组织攻击波兰分布式能源资源，首次针对DER站点，利用标准化漏洞造成设备物理损毁。攻击标志着战术向协同化机会主义转变。警示行业需将DER纳入监管，建立OT深度可见性，强化远程访问管理，并制定针对硬件损毁的灾难恢复预案以应对新威胁。 综合评分： 95 文章分类： 威胁情报,安全大事件,恶意软件,安全建设,解决方案

俄罗斯APT组织对波兰电力系统网络攻击的新特点、新战术及警示

原创

安帝科技 安帝科技

安帝Andisec

2026年1月29日 16:30 北京

编者按

2025年12月29日至30日，波兰两座热电联产厂及可再生能源调度系统遭遇协同网络攻击，被该国能源部长称为“多年来最强攻击之一”。尽管官方称攻击未导致停电，但其象征意义远超表面。2026年1月23日，安全公司ESET以中等置信度将攻击归咎于俄罗斯“沙虫”（Sandworm）APT组织。1月28日，工业网络安全公司Dragos发布深度报告，明确此次攻击为“首次重大”针对分布式能源（DER）的网络攻势，影响约30个站点，并将攻击组织追踪为ELECTRUM（与沙虫高度关联），其手法延续了2015‑2016年对乌克兰电网的攻击脉络。此次事件标志着电网攻击面已从集中式核心向分布式边缘系统性迁移，暴露出能源转型过程中OT安全的普遍薄弱。全球电力行业必须正视：新型电力系统的脆弱性，正成为国家级APT组织的演练场。防御理念与技术体系亟待重构，以应对这场既隐秘又严峻的时代挑战。

事件回顾

2025年12月底，波兰电力系统遭遇了一次标志性的协同网络攻击。与以往针对电网核心枢纽的袭击不同，此次攻击精准聚焦于电网的“神经末梢”——遍布全国的分布式能源资源（DER）站点，包括风力发电场、太阳能电站和热电联产（CHP）设施。根据工业网络安全公司Dragos于2026年1月28日发布的权威报告，约30个此类站点受到影响。

攻击者入侵了站点的运营技术（OT）系统，破坏了远程终端单元（RTU）和通信设备，甚至永久性损坏了部分关键OT硬件，导致远程监控与控制功能丧失。得益于电力设备在通信中断后的惯性运行特性，此次攻击并未造成实际停电，波兰整体供电保持稳定。Dragos通过深度分析，以中等置信度将攻击归因于威胁组织ELECTRUM。该组织与2015年、2016年导致乌克兰大停电的袭击事件高度相关，并被广泛关联至俄罗斯背景的沙虫（Sandworm/APT44） 黑客组织，展现了其对关键基础设施的持久威胁能力和战略耐心。

攻击技术战术与程序（TTPs）的创新演变

本次攻击并非历史模式的简单重复，而是在攻击理念、目标选择和技术执行上实现了多重突破，揭示了对手TTP的针对性进化。

1. 攻击目标创新：从“摧毁中枢”到“麻痹末梢”

历史模式：2015年乌克兰攻击针对区域配电控制中心，2016年升级为攻击输电变电站，均遵循“攻击集中控制节点以谋求最大范围瘫痪”的传统思路。

本次创新：ELECTRUM将矛头转向了数量庞大、地理分散、单个防御薄弱的分布式发电单元。这直接呼应了全球能源体系向分布式、可再生能源转型的大趋势。攻击者敏锐意识到，攻击大量小型DER产生的聚合效应，同样能冲击电网稳定。此举将攻击面从有限的几个核心点，扩展至成千上万个边缘节点，利用了DER普遍存在的安全投资不足、远程暴露面广、监管覆盖弱的系统性短板。

2. 入侵战术创新：利用“标准化脆弱性”实现规模化突破

核心战术：报告明确指出，攻击者并非依赖未知的“零日漏洞”，而是高效利用了DER行业在成本压力下形成的共性安全缺陷——包括网络边缘设备（如防火墙、VPN）的默认配置、未修复的已知漏洞和不当暴露的服务。

规模化攻击实现：由于大量DER站点采用相同或类似的廉价商用设备与标准化配置以节约成本，攻击者一旦成功逆向分析出某一型号设备或特定配置的入侵路径，便能将攻击方法像“复制-粘贴”一样，快速应用于数十乃至上百个同类站点。这体现了对手进行了周密的前期侦察，精准把握了目标行业的运维习惯和安全基线，实现了攻击效率的极大化。

3. OT攻击深度创新：从“数据窃取/潜伏”到“直接物理破坏”

攻击焦点深化：突破边界后，攻击者直插OT网络腹地，专注于破坏RTU及关联的通信基础设施。这要求对IEC 104等工业协议有深入理解和操作能力。

破坏手段升级：一是部署OT环境擦除器：在站点的Windows工程工作站及服务器上部署擦除器恶意软件，系统性破坏数据与配置，旨在最大化恢复难度、消除攻击痕迹。二是实现物理级“损毁”：攻击不仅限于数据层面，更通过重置配置、刷固件等方式，将关键通信与OT设备永久性“变砖”，造成了需要硬件更换才能修复的实质性物理损伤。这标志着攻击意图从间谍活动、战前预置，明确转向了即时性的破坏与拒止。

4. 战术执行模式创新：“协同化机会主义”攻击

Dragos分析强调此次攻击具有显著的 “机会主义” 特征。攻击者似乎并未执行一个如2016年CRASHOVERRIDE（Industroyer）那样高度自动化、精准控制断路器操作的复杂攻击剧本。相反，他们在获取多个站点的访问权限后，采取了 “有什么，破坏什么” 的策略，广泛实施擦除、重置和损坏。

这种模式可解读为一种 “协同化机会主义”：在宏观上，协调攻击数十个站点（体现组织性与规划性）；在微观上，在每个站点内采取灵活、直接的破坏手段（体现临机性与破坏最大化）。这可能源于对每个站点独特控制逻辑的掌握不足，也可能是一种旨在制造混乱、消耗防御方应急资源并测试攻击链可靠性的新战术。

5. 作战节奏与身份伪装创新

时机选择：攻击发生于冬季用电高峰，意图在能源需求最紧迫、社会心理最脆弱的时段施加最大压力，符合该组织一贯的“最大化民用影响”的冷酷算计。

身份关联：攻击活动与ELECTRUM/Sandworm的已知工具集（如擦除器）和攻击模式吻合。同时，该组织近年来有利用黑客主义者（Hacktivist）身份作为掩护的趋势，使得攻击溯源和归因响应更加复杂。

简要分析

波兰电力系统网络攻击事件是一次未遂的停电攻击，却是一次成功的“战场测试”和“战略宣告”。

首先，它验证了分布式能源已成为高级持续性威胁（APT）组织的可行且高价值目标。 随着能源转型深入，DER的网络安全短板——资金投入有限、远程接入需求大、标准化配置导致风险同质化、监控能力不足——被对手精准识别并利用。攻击表明，即使单个站点容量小、低于传统关键基础设施监管门槛，其规模化协同妥协仍能构成系统性风险。

其次，攻击展示了OT层面网络攻击的“新常态”。 攻击者具备深厚的OT领域知识，能够操作专业设备，并倾向于追求直接的物理破坏效果（设备损坏、数据擦除），而不仅仅是数据窃取。这种“网络-物理”跨界攻击能力，使得防御方必须在IT安全之外，同等甚至更加重视OT环境的独特脆弱性和防护需求。

再次，攻击的“机会主义”特点与“协同性”并存，值得深思。 一方面，攻击手法看似利用了现有漏洞和常见配置，缺乏2016年CRASHOVERRIDE那种高度自动化的协议级恶意软件的“精巧”。但另一方面，能同时协调入侵数十个分散站点，本身就需要高度的组织、侦察和计划能力。这或许意味着攻击者在测试新的战术、扩大攻击演练范围，或因应对抗压力而采取了更快速、更分散的攻击模式。

对电力行业的警示

波兰的警报必须被视为全球电力行业，特别是高比例可再生能源接入地区的战略级警告：

1.  必须将DER网络安全提升至战略高度：监管机构需紧急审视现有关键基础设施定义，将聚合容量达到一定规模的DER资产集群纳入强制性网络安全监管与审计范围。运营者需为DER安全设立专项预算和考核指标。

2.  必须摒弃“标准化即高效”的片面思维：在运营效率与安全韧性间寻求新平衡。针对DER站点，应主动在网络架构、设备配置、安全策略上引入必要的差异化，避免“一个漏洞，全线失守”的局面。

3.  必须建立OT环境深度可见性：缺乏对OT协议指令级的监控，是此次攻击未能被及时发现的核心原因。必须投资部署能够深度解析工业协议、建立正常行为基线、检测异常控制指令的专用OT安全监测平台。

4.  必须强化远程访问的生命周期管理：对所有远程运维、供应商访问实施强制多因素认证（MFA）、最小权限原则和基于时间的临时授权，并持续监控访问日志，发现异常跨站点登录等行为。

5.  必须制定针对性的OT灾难恢复预案：传统IT灾难恢复方案不适用。需针对“大规模站点同时失联、OT设备被毁”的场景，制定包含现场人员调度、无网络环境下的应急操作、以及受损硬件快速替换流程的专项预案，并定期演练。

6.  必须实施主动的威胁情报驱动防御：紧密跟踪如ELECTRUM/Sandworm等针对性能源威胁组织的TTP演变，将其特征融入威胁狩猎和检测规则，实现从被动防护到主动预警的转变。

结论

俄罗斯沙虫（ELECTRUM）对波兰分布式能源系统的攻击，是一次承前启后、极具针对性的网络战演练。它清晰地标示出，随着全球能源结构的分布式转型，国家级APT组织的攻击箭头已随之转向，正利用新体系固有的安全薄弱环节，发展出“规模化利用、直接破坏、协同施压”的新一代战术。

此次攻击未导致大停电，绝非侥幸，而是暴露了对手在当前阶段的测试意图和能力边界。它对全球电力行业发出的警示振聋发聩：未来的电网安全战场，已从守卫少数“城堡”，转变为保护成千上万散布的“哨所”。唯有从战略认知、架构设计、资源投入和应急准备上全面革新，构建起兼顾集中与分布、贯通IT与OT的纵深防御体系，才能确保在能源革命的时代浪潮中，新型电力系统的稳定与安全不致于成为网络攻击下的牺牲品。波兰的教训，必须成为全球行动的开始。

参考资源

1、https://www.dragos.com/blog/poland-power-grid-attack-electrum-targets-distributed-energy-2025

2、https://industrialcyber.co/utilities-energy-power-water-waste/dragos-reports-electrum-group-targets-polish-electric-system-in-first-major-distributed-energy-resources-cyberattack/

3、https://www.bleepingcomputer.com/news/security/cyberattack-on-polish-energy-grid-impacted-around-30-facilities/

4、https://australiancybersecuritymagazine.com.au/analysis-of-poland-electricity-sector-attack/

5、https://www.welivesecurity.com/en/eset-research/eset-research-sandworm-cyberattack-poland-power-grid-late-2025/

往期精选

安帝科技丨ANDISEC

北京安帝科技有限公司是新兴的工业网络安全能力供应商，专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索，基于网络空间行为学理论及工业网络系统安全工程方法，围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势，为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展，坚持产品体系的自主可控，全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。

点击“在看”鼓励一下吧

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安帝Andisec 安帝科技 安帝科技《俄罗斯APT组织对波兰电力系统网络攻击的新特点、新战术及警示》