文章总结： 波兰CERT报告称，与俄罗斯有关的黑客利用默认凭证攻击该国约30处能源设施，破坏了ICS设备但未引发停电。攻击者通过暴露的Fortinet设备入侵，针对日立、Moxa等厂商产品利用弱口令和未启用安全功能的漏洞上传恶意固件及擦除程序。建议立即修改默认凭证、启用多因素认证及更新固件以加强工控系统防护。 综合评分： 88 文章分类： 威胁情报,应急响应,安全大事件,恶意软件,漏洞分析

波兰能源设施遭受破坏性攻击，默认ICS凭证被利用。

祺印说信安

2026年2月4日 00:01 河南

波兰计算机应急响应小组 (CERT) 发布了一份报告，详细介绍了与俄罗斯有关联的黑客最近对该国电网发起的攻击。

此次攻击的目标是大约 30 个地点的通信和控制系统，其中包括热电联产 (CHP) 工厂和风能、太阳能设施的可再生能源调度中心。

黑客入侵了工业控制系统（ICS），但主要目标是电网安全和稳定性监控系统，而非有源发电系统。虽然部分ICS设备遭到永久性损坏，但此次事件并未造成任何停电事故。

CERT.PL在其报告中指出：“然而，值得注意的是，鉴于攻击者获得的访问权限级别，受影响设施的发电存在中断的风险。即使发生此类中断，分析表明，所有30个设施的总发电量损失也不会影响波兰电力系统在相关期间的稳定性。”

根据波兰 CERT 的说法，攻击最早可追溯到 2025 年 3 月，侦察、未经授权的数据访问和凭证窃取尝试一直持续到 7 月。

CERT报告称，所有受攻击的设施都部署了暴露在互联网上的Fortinet FortiGate设备，这些设备使用默认凭据且未启用多因素身份验证。这些Fortinet设备同时充当防火墙和VPN接口，是最初的攻击途径。黑客于 12 月 29 日发起破坏性活动，其中一些活动是部分自动化的。

目标型ICS

CERT Polska 的报告指出，此次攻击的目标是三家 ICS 供应商：日立能源、Moxa 和 Mikronika。

以日立公司为例，受攻击的设备包括RTU560远程终端单元（RTU），攻击者使用默认凭据访问了这些设备。这种访问权限使攻击者能够上传恶意固件。调查人员发现，一项旨在防止恶意固件更新的安全功能并未启用；但即使启用了该功能，这些设备仍然会受到CVE-2024-2617漏洞的影响，该漏洞允许未经签名的固件更新。

攻击者还将目标对准了日立Relion防护和控制继电器。由于未禁用默认FTP帐户（厂商建议禁用此帐户）以及使用了默认凭据，攻击者得以访问这些设备。

与俄罗斯有关联的黑客还攻击了波兰工业自动化解决方案公司Mikronika生产的远程终端单元（RTU）和人机界面（HMI）。这两种类型的工业控制系统（ICS）设备均使用默认凭据进行保护，这使得攻击者能够进行恶意更改，最终实施破坏性操作。

威胁行为者在运行 HMI 软件的 Windows 机器上部署了擦除程序，这些擦除程序在受默认本地管理员凭据保护的设备上造成了损害。

Moxa NPort 串口设备服务器也成为了攻击目标。据 CERT.PL 称，攻击者利用暴露的 Web 界面和默认凭据访问了这些系统，然后将其重置为出厂设置，更改了登录密码，并分配了阻止合法用户访问的 IP 地址。

CERT.PL解释说：“在所有分析的案例中，所有在设施内可接触到的Moxa设备都成为了攻击目标。”

工业网络安全公司 Dragos 此前报告称，RTU 最终得以恢复，但一些未指明的 ICS 设备已损坏到无法修复的程度。

虽然一些威胁行为者拥有先进的能力和大量的资源来进行 ICS 攻击，但此次事件再次表明，即使对于低技能的黑客来说，  工业系统也往往很容易被入侵。

ICS供应商的回应

日立能源周五发布公告，告知客户其RTU560和Relion 650产品在波兰电网遭受攻击中成为目标。

该供应商敦促客户更新其设备并实施一般网络安全措施，但指出攻击者入侵其设备是因为“更广泛的系统环境中的网络安全措施不足”。

日立公司指出，这些被入侵的设备配置了默认凭据，禁用了推荐的安全功能，运行的是过时的固件，并且位于易受攻击的防火墙之后。

Mikronika 称，它与 CERT Polska 合作调查了这起事件，并积极参与了对整个攻击的分析。该公司首席安全官托马什·萨拉证实，没有证据表明此次攻击使用了零日漏洞。“攻击者仅使用了默认凭证，”萨拉指出。

截至发稿时，Moxa 尚未发布安全公告，也未回应置评请求。

归因

事件曝光后不久，波兰官员便将此次网络攻击归咎于俄罗斯。然而，网络安全公司ESET率先将攻击源头锁定为特定的攻击者。

ESET 基于对恶意软件及其相关战术、技术和程序 (TTP) 的分析，以中等置信度报告称，名为Sandworm 的高级持续性威胁组织 (APT) 是此次攻击的幕后黑手。该公司的分析重点是攻击中使用的擦除型恶意软件，包括DynoWiper。

Dragos 以中等程度的信心将此次攻击归咎于一个名为 Electrum 的组织，该组织与 Sandworm 有关联，但并非总是相同。

沙虫与俄罗斯军事情报部门有关联，主要以其破坏性攻击而闻名，其中包括2016 年对乌克兰电网的攻击。

相比之下，CERT.PL 将此次攻击与一个名为 Static Tundra、Berserk Bear、Ghost Blizzard 和 Dragonfly的 威胁行为者联系起来，该行为者专注于侦察和间谍活动。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：祺印说信安 《波兰能源设施遭受破坏性攻击，默认ICS凭证被利用。》