文章总结： 2025年12月波兰能源网遭俄APT组织攻击，致30多座电站失联。黑客利用FortiGate漏洞侵入，部署擦除软件破坏工业设备固件。事件暴露了设施老旧与防护薄弱，建议企业加强双因素认证、工业协议监控、离线备份及关键时段应急值守。 综合评分： 85 文章分类： 威胁情报,恶意软件,应急响应,网络安全,安全建设

寒冬致命攻击！俄罗斯APT组织冻住波兰能源网，30+风电太阳能电站失联，50万人差点没暖气

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年2月6日 11:59 广东

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

2025年12月29日，波兰遭遇近十年最强寒潮，气温跌破-15℃。就在全国人民依赖暖气和电力取暖时，一场隐蔽的网络攻击突然爆发：30多个风电场、太阳能电站的通讯被切断，连供应50万人取暖的大型热电联产（CHP）厂都遭入侵——攻击者目标明确：在最冷的日子里，瘫痪波兰的能源系统。

波兰国家计算机应急响应小组（CERT Polska）事后披露，这场攻击由俄罗斯背景的黑客组织发起（疑似Static Tundra或Sandworm），动用了两款毁灭性擦除 malware，直指能源设施的“命脉”。作为跟踪工业控制系统安全的博主，必须扒透这伙人的“寒冬偷袭术”——他们不勒索、不偷数据，只为搞破坏，堪称“能源领域的恐怖分子”。

先搞懂：攻击的是“能源中转站”，不是发电站

很多人以为黑客要炸掉发电站，其实他们瞄准了更关键的目标——GCP变电站（电网连接点）：

这是风电、太阳能电站接入国家电网的“必经之路”，相当于“能源交通枢纽”；

平时由电网运营商（DSO）远程监控、控制，全程无人值守，一旦被攻破，电站就成了“断线的风筝”；

黑客不用破坏发电设备，只要切断通讯和远程控制，就能让电站无法同步电网频率，间接影响供电供热。

简单说，发电站还在发电，但“指挥中心”联系不上它，也没法调度电力，相当于“心脏在跳，神经被切断”。

拆解攻击链：从“破门”到“搞破坏”，4步瘫痪能源网

CERT Polska还原的攻击流程，每一步都精准针对能源设施的弱点，像极了“精准外科手术式破坏”：

Step 1：借“漏洞门”闯入， FortiGate成“后门”

黑客的第一步，是利用能源设施普遍使用的FortiGate设备（用于VPN和防火墙）：

这些设备很多没开双因素认证（2FA），甚至还带着已知漏洞，黑客用“暴力破解+弱密码复用”轻松拿到管理员权限；

部分设施的工作人员还在重复使用密码，黑客攻破一个电站后，用相同密码横向渗透到其他30多个站点，实现“一锅端”。

对黑客来说，这相当于能源设施给自己留了“没锁的后门”，一推就开。

Step 2：潜伏侦察，摸清“能源命脉”

闯入内部网络后，黑客没有立即动手，而是先“踩点”：

映射系统拓扑，找到关键设备：Hitachi远程终端单元（RTU）、Mikronika控制器、保护继电器、人机界面（HMI）——这些都是控制电力传输的核心；

在大型CHP热电联产厂，黑客甚至潜伏了数月，偷偷窃取敏感数据，摸清了监控系统的规律，就等寒潮天动手。

他们像潜伏在暗处的猎手，等到最关键的时刻才发起致命一击。

Step 3：寒潮天动手，两款“擦除器”搞破坏

12月29日，寒潮最严重的当天，黑客启动了自动化攻击，两款恶意软件同时发力：

DynoWiper（Windows擦除器）：专门攻击HMI电脑，用随机数据覆盖文件，让监控软件、控制程序直接报废，数据根本无法恢复；

LazyWiper（PowerShell脚本）：更狠，针对性破坏工业设备——篡改Hitachi RTU的固件、清空Mikronika控制器的数据、禁用保护继电器、破坏Moxa串口设备，相当于直接“物理损坏”电子设备。

更可怕的是，LazyWiper疑似有AI参与开发，代码粗糙却针对性极强，能快速适配不同品牌的工业设备，而且没有C2服务器、不搞持久化，干完就走，很难追踪。

Step 4：毁证据+断通讯，让恢复难上加难

攻击后，黑客还做了“收尾工作”：

把FortiGate设备恢复出厂设置，擦掉登录日志，让安全人员没法溯源；

切断电站与电网运营商的通讯，就算电站想手动恢复，也没法同步电网频率，只能被迫“离线”。

最终结果：30多个可再生能源电站失联，CHP热电联产厂的监控系统瘫痪，好在EDR工具拦截了部分擦除器，才没彻底断供。

为什么是现在动手？黑客的“寒冬战术”太阴了

黑客选在寒潮天攻击，绝非偶然，而是算准了三个关键点：

1. 需求最迫切：-15℃的低温下，居民、医院、企业对电力暖气的需求达到峰值，一旦中断，后果不堪设想；

2. 恢复最困难：寒潮天里，维修人员难以前往偏远的风电场、变电站，就算发现问题，也没法及时抢修；

3. 恐慌效应最大：能源短缺容易引发社会恐慌，甚至影响政府公信力，这正是黑客想要的“破坏效果”。

这种“趁人之危”的攻击，比单纯的网络攻击更具杀伤力，堪称“能源恐怖主义”。

能源设施的“致命弱点”，被黑客抓得死死的

这次攻击暴露了全球能源设施的共性问题，也是黑客能得手的关键：

1. 工业设备“年久失修”，漏洞百出

很多RTU、控制器是10年前的老设备，厂商早就停止更新固件，漏洞根本没法修复，成了“永久后门”。

2. 安全防护“重发电，轻控制”

能源企业把重点放在“防止发电设备损坏”上，却忽视了通讯系统、远程控制设备的安全——这些设备没人值守，安全配置长期不更新，成了最薄弱的环节。

3. 人员安全意识薄弱

弱密码、重复密码、不开启2FA，这些“低级错误”在能源行业普遍存在，相当于给黑客递上“钥匙”。

防坑指南：4招守住“能源命脉”，别让黑客再有机可乘

不管是能源企业，还是关键基础设施运营方，记住这4点，就能大幅降低被攻击风险：

1. 给“工业设备”上“双保险”

立即给FortiGate等网络设备开启双因素认证（2FA），修补已知漏洞，定期更换管理员密码，绝不重复使用；

给关键工业设备（RTU、控制器）设置“白名单访问”，只有授权IP才能连接，就算网络被攻破，也没法直接操控设备。

2. 监控“异常行为”，别等攻击发生才发现

部署能监控工业协议（如Modbus、IEC 61850）的安全工具，一旦发现“有人篡改固件”“批量删除文件”，立即触发告警；

对无人值守的变电站，安装视频监控+环境传感器，就算通讯中断，也能实时掌握现场情况。

3. 做好“离线备份”，关键时刻能恢复

给工业设备的固件、配置文件做离线备份，存到物理隔离的设备里，就算被LazyWiper篡改，也能快速恢复；

定期演练“通讯中断后的手动操作流程”，确保就算远程控制失灵，工作人员也能现场接管，避免长时间断供。

4. 警惕“寒潮、节假日”等关键节点

在极端天气、重大节假日等敏感时段，启动“安全应急预案”：增加监控频率、限制远程访问、安排人员值守；

提前排查薄弱环节，尤其是偏远地区的小型电站，这些地方往往是黑客的“重点目标”。

最后提醒：网络战已经瞄准“民生命脉”

这次波兰能源攻击再次证明，网络战不再是“偷数据、要赎金”，而是直接影响民生的“破坏性武器”。黑客不用一枪一炮，就能在寒冬里切断50万人的暖气，这种威胁比传统战争更隐蔽、更致命。

对我们来说，关键基础设施的安全不是“技术问题”，而是“生存问题”。只有守住发电、供电、供水这些“命脉”，才能在网络战中不被“卡脖子”。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《寒冬致命攻击！俄罗斯APT组织冻住波兰能源网，30+风电太阳能电站失联，50万人差点没暖气》