2026-01-23 12:26:14 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文盘点2025年全球网络攻击，指出攻击呈现目标关键化、手段混合化及数据货币化特征。文中列举了NSA渗透中国授时中心、制造业遭勒索攻击及大规模数据泄露等案例。文章强调网络威胁已成为国家博弈核心，建议提升基础设施韧性并加强国际合作以应对挑战。 综合评分： 86 文章分类： 威胁情报,网络安全,数据安全,应急响应

cover_image

2025全球多领域重大网络攻击事件盘点与趋势预警

原创

Cismag Cismag

信息安全与通信保密杂志社

2026年1月22日 17:34 四川

2025年，全球网络安全态势呈现前所未有的严峻性与复杂性。网络攻击已从早期的孤立侵扰，演变为组织严密、影响深远的全球性“暗战”。攻击主体涵盖国家背景的APT组织、逐利的犯罪集团及黑客行动主义者，其战术与实施能力均发生重大变化。全年重大事件凸显出四大主导特征：

一、目标关键化与后果实体化

攻击焦点转向关系国家安全的关键信息基础设施和核心产业。例如，美国NSA渗透中国国家授时中心，意图破坏“时间同步”这一国家战略根基；对瑞典电力公司、德国HELUKABEL、捷豹路虎等全球供应链关键企业的攻击，直接造成实体经济损失与产业链中断；俄罗斯VSK、秘鲁政府门户、欧洲多家机场等公共服务系统瘫痪等。网络攻击与物理世界的边界日益模糊，其破坏力已堪比区域性公共危机。

二、手段混合化与勒索产业化

攻击手段向专业化、混合化演进。“双重勒索”成为主流，攻击者在加密系统的同时窃取敏感数据，以此对受害者进行经济勒索、威胁其公开敏感数据等行为，让受害者无所适从。攻击链日益复杂，如NSA组合利用供应链漏洞、零日漏洞及定制恶意软件实施渗透；针对加密货币交易所Bybit的盗窃则展示了供应链攻击与社会工程学的恶性结合。勒索软件运营已形成成熟的“犯罪即服务”模式，背后是开发、渗透、谈判、洗钱分工明确的黑色产业链，且追查困难。

三、动机复杂化与冲突现实化

网络空间已成为国家博弈、经济利益与意识形态交织的混合战场。国家博弈往往在于获取战略优势或配合现实冲突，如俄乌冲突中双方黑客组织对关键基础设施与军工企业的持续攻击。经济动机驱动的跨国犯罪则以数据窃取、勒索加密为主要形式，目标完全基于支付能力与黑市价值。此外，黑客主义行动常兼具政治诉求与扰乱意图，使得攻击溯源与定性愈发困难。

四、数据货币化与泄露规模化

大规模数据泄露事件在频率、规模与影响上均创新高。秘鲁3300万公民敏感信息泄露、越南CIC超1.6亿条记录遭窃取等案例显示，近乎全民规模的敏感信息暴露已成常态。数据既是暗网明码标价的商品，也是勒索中迫使企业妥协的核心筹码。此外，公职人员信息、警务数据等泄露已超越个人隐私范畴，构成国家安全威胁。

总之，2025年的网络攻击呈现出对手专业化、目标实体化、动机多元化与数据资产化的鲜明特征。防御方面需从根本上提升认知，将网络安全置于国家治理与企业战略核心，通过强化基础设施韧性、完善数据主权立法、深化跨国合作，以应对这场日益严峻的数字时代挑战。

下文将对这一年全球多领域的重大网络攻击事件进行一次全面梳理与深度盘点。

制造业

1.美国知名工业制造上市公司森萨塔遭受勒索攻击

4月，美国知名工业制造上市公司森萨塔科技遭勒索软件攻击，攻击者加密了公司网络内的部分设备并窃取了数据。攻击导致公司业务运营中断，对发货、收货、制造生产等多个关键职能造成暂时影响。被盗数据的具体内容仍在确认中，可能涉及法律与监管风险。公司预计本季度财务业绩不受实质性影响，但情况可能变化。暂无组织宣称负责。

2.德国电缆制造龙头HELUKABEL遭受勒索攻击

4月，德国电缆制造龙头HELUKABEL遭勒索软件组织“RALord”攻击。攻击者采用双重勒索策略：一方面使用“.LORDSOFNET”勒索软件加密全网络设备（包括服务器和终端）导致业务停摆；另一方面窃取了30GB核心数据，内含技术图纸、客户信息、财务记录等，并威胁公开。事件导致企业网络瘫痪，核心数据面临泄露风险。由于该公司为全球40余国家的能源、汽车等关键领域提供产品，此次攻击可能引发跨国产业链的连锁风险。攻击者已通过WhatsApp等渠道索要赎金。

3.美国最大钢铁制造商纽柯因遭受网络攻击被迫停产

5月，美国最大钢铁制造商纽柯遭遇网络安全事件。攻击方式为未经授权的第三方访问了其部分信息技术系统，具体细节尚未公开。事件发生后，纽柯立即启动响应，主动关闭了可能受影响的系统，导致其在美国、加拿大和墨西哥的多个生产基地的部分运营被迫暂停，造成暂时停工。公司表示运营正在逐步恢复，但尚无法确定对整体业务的具体影响。公司已就事件向执法部门报告，并聘请外部专家进行调查。目前尚无组织宣称对此负责。

4.捷豹路虎因遭受严重网络攻击导致停产

8月，英国捷豹路虎遭受严重网络攻击。攻击者特意利用了周末企业应急力量薄弱的时机发起入侵。报道分析，具体攻击方式可能涉及账户滥用、利用远程访问漏洞、第三方集成缺陷或通过域控进行横向移动等技术手段，但具体攻击技术细节尚未公开披露。此次攻击造成了广泛影响：其全球生产体系严重受扰，索利哈尔工厂生产停滞；销售系统瘫痪，导致英国经销商无法完成新车注册；部分工厂员工已被通知回家，事件影响从IT层面延伸至物理生产与人员安排。

5.全球最大轮胎厂商普利司通疑遭受勒索攻击

9月，全球最大轮胎厂商普利司通北美分部证实，其部分制造工厂遭遇网络攻击，具体攻击方式未公开（该公司2022年曾遭LockBit勒索软件攻击）。攻击导致其位于美国南卡罗来纳州和加拿大魁北克省的多个工厂生产中断。公司称响应迅速，已控制事态，并认为未损害客户数据或核心系统。

6.意大利工业气体巨头SIAD遭受勒索攻击

11月，与俄罗斯有关联的勒索软件组织Everest Group声称，已从意大利工业气体巨头SIAD集团窃取159GB数据，并开始为期8天的公开泄露倒计时。此次攻击的直接威胁在于核心数据可能被公开。尽管尚无证据证实泄露范围，但鉴于SIAD集团是欧洲重要的工业耗材供应商，业务涵盖医疗、汽车、能源等多个关键领域，若勒索攻击导致其生产运营中断，可能引发广泛的行业连锁反应，对制造业、医疗保健等造成影响。该组织今年已对宝马、可口可乐等多家大型企业实施过类似攻击。

互联网

1.乌克兰黑客入侵俄罗斯Nodex网络

1月，乌克兰“网络联盟”组织黑客宣布入侵俄罗斯互联网服务提供商（ISP）Nodex网络，窃取敏感文件后清除了被黑系统，并分享了攻击VMware虚拟机、Veeam备份和惠普企业虚拟基础设施的截图。互联网监控组织NetBlocks确认，此次攻击导致Nodex网络的固定电话和移动服务连接崩溃。乌克兰“网络联盟”自2016年起活跃，FalconsFlame、Trinity、RUH8和CyberHunta等多个黑客组织加入其中，以抵抗俄罗斯的网络攻击。

2.社交平台X用户数据大规模泄露

1月，名为ThinkingOne的黑客在黑客论坛BreachForums上发布34GB的CSV数据库文件，涵盖超2.01亿条社交平台X（旧称“推特”）用户数据，包括用户名称、ID、位置、电子邮件地址、关注者数量、个人资料信息、时区和头像等。网络安全公司SafetyDetectives验证样本后确认信息属实。此次泄露源于2023年1月“推特”漏洞赏金计划发现的漏洞，该漏洞允许攻击者仅通过电子邮件地址或电话号码访问用户数据，虽已修复，但此前黑客已利用其窃取大量数据。

3.攻击者利用微软SharePoint高危漏洞入侵服务器

7月，美国微软公司发布高危零日漏洞CVE-2025-53770的紧急警报，敦促受影响用户立即重新配置系统或断开与微软SharePoint服务器的连接。利用该漏洞，攻击者可在SharePoint服务器上植入“ToolShell”后门，不经身份验证即可远程访问服务器上所有内容（包括文件系统和内部配置），并远程执行代码，还可能窃取或篡改加密密钥，在受害机构安装安全补丁后仍能访问此前入侵的服务器。SharePoint服务器用户包括众多政府机构和企业，美国国家核安全管理局（NNSA）承认有黑客利用该漏洞入侵，但表示无迹象表明泄露敏感或保密信息，微软于7月21日发布安全补丁。

政务

1.美国财政部泄露约15万封敏感电子邮件

4月，美国财政部下属的货币监理局（OCC）承认电子邮箱遭到入侵，约15万封电子邮件泄露。OCC于2025年2月发现用户收件箱与系统管理员帐户间存在异常交互，后续调查显示，黑客入侵了103个OCC高管和员工的电子邮箱，获取了部分联邦监管金融机构的高度敏感财务信息。OCC称无证据表明此次入侵影响美国金融行业，也不清楚攻击者身份。

2.秘鲁政府门户网站遭受勒索攻击

5月，秘鲁政府门户网站Gob.pe遭黑客组织Rhysida攻击。攻击者通过钓鱼攻击等方式渗透系统，导致网站瘫痪并窃取了约3300万公民的护照、税务、医疗及警务等敏感数据。Rhysida在暗网发起双重勒索，以5比特币（约48.8万美元）的价格出售数据，并设5月9日为支付赎金截止日。秘鲁政府起初否认遭袭，称仅为“技术维护”，但独立机构证实了攻击和数据泄露的真实性。

3.俄罗斯网络服务因遭受DDoS攻击而大范围中断

5月，由于遭到来自国外的分布式拒绝服务（DDoS）攻击，俄罗斯几项主要的国家网络服务一度中断。中断监控网站Downdetector显示，受到此次攻击影响的服务包括俄罗斯税务服务（FNS），安全数字密钥管理服务（Goskey），安全文档管理服务（Saby），以及莫斯科卫生部门的系统等。一些俄罗斯企业同时报告称，无法访问控制酒精饮料分销和销售的政府服务，以及追踪某些商品生产以防止假冒的国家系统。就在一周前，俄罗斯的部分银行应用程序、社交网络VKontakte、某些即时通讯服务、网络搜索平台Yandex和移动网络也因网络攻击而一度中断。尚无组织宣称对这一系列网络攻击负责。

4.韩国政务系统遭受大规模网络入侵

7月，韩国公职人员用于管理任务、文件和部门间沟通的Onnara系统遭到大规模网络入侵。韩国内政部数字政府创新办公室表示，黑客通过连接政府远程工作系统的外部计算机访问Onnara系统，同时获取了“政府公钥基础设施”（GPKI）中650份用于验证和保护官方通信安全的数字证书。推测可能有公职人员远程工作时计算机感染恶意代码，使黑客得以通过政府远程办公系统G-VPN入侵。从8月4日起，韩国政府要求连接G-VPN的用户除GPKI认证外，还需进行电话验证（ARS）；7月28日起，中央和地方政府已采取措施防止Onnara系统登录信息重复使用；对于GPKI，政府审查了所有证书有效性，发现多数泄露密钥已过期，8月13日撤销了剩余密钥权限。

5.瑞典政府软件供应商Miljödata遭受勒索软件攻击

8月，瑞典政府主要软件供应商Miljödata公司遭到勒索软件Datacarry攻击，导致瑞典约200套市政系统受影响。攻击者以泄露数据为要挟，向该公司勒索1.5个比特币。瑞典隐私保护局（IMY）调查显示，攻击者窃取了约150万人的个人信息，超过瑞典总人口的十分之一，泄露数据包括姓名、政府颁发的身份证件、出生日期、电子邮件地址、电话号码、实际地址、性别等，甚至有医疗证明、康复计划和工伤记录等敏感信息。Miljödata公司为瑞典约80%的市政机关提供“健康工作环境智能系统”。

6.奥地利内政部遭受网络攻击致数据泄露

9月，奥地利内政部（BMI）检测到其信息技术（IT）系统遭到网络攻击，发生数据泄露。BMI已将相关机构系统与互联网断开并全面清理，同时采取备用通信措施。调查结果显示，攻击者越权访问了BMI的邮件服务器，入侵了约6万个电子邮件账户中的100个。BMI称此次攻击未泄露奥地利公民个人数据，未影响警方行动或泄露执法数据，奥地利政府未将攻击归咎于任何黑客组织或民族国家，联邦刑事警察局网络犯罪中心牵头调查。

7.美国NSA对中国国家授时中心实施网络入侵

10月，中国国家安全机关披露，美国国家安全局（NSA）对中国国家授时中心实施重大网络攻击活动。2022年3月起，NSA利用某国外品牌手机短信服务漏洞，秘密监控10余名国家授时中心工作人员，非法窃取手机通讯录、短信、相册、位置信息等数据。2023年4月起，NSA在“三角测量”行动曝光前，多次于北京时间凌晨，利用窃取的登录凭证入侵国家授时中心计算机，刺探内部网络建设情况。2023年8月至2024年6月，NSA针对性部署新型网络作战平台，对国家授时中心多个内部业务系统实施渗透活动，并企图向高精度地基授时导航系统等重大科技基础设施发动攻击。NSA在攻击中展现出世界领先的战术理念、操作手法、加密通讯和免杀逃逸能力：使用正常业务数字证书、伪装Windows系统模块、代理网络通信等隐藏攻击窃密行为、规避杀毒软件；通讯多层加密，加密强度远超常规TLS协议；长期全面监控受控主机，排查异常；功能动态扩展，统一攻击平台具备灵活可扩展性和目标适配能力。

8.英国多地市政机构遭受网络攻击

11月，隶属于大伦敦地区的伦敦哈默史密斯与富勒姆自治市、肯辛顿与切尔西皇家自治市以及威斯敏斯特市议会的市政系统遭到网络攻击，导致部分市政服务瘫痪。哈默史密斯与富勒姆自治市的市政税账户、商业税款支付和福利账户等在线服务无法使用；肯辛顿与切尔西皇家自治市的电话线路中断，部分市政数据遭窃取；威斯敏斯特市议会的租金和服务费支付、市政税和营业税以及住房维修等市政服务中断。

9.法国内政部遭受网络攻击泄露敏感数据

12月，法国内政部长证实内政部遭到网络攻击，电子邮件服务器被入侵，攻击者非法访问了犯罪记录处理系统（TAJ）和通缉犯档案（FPR），其中存有“重要”文件。初步调查显示，攻击者可能获取了可访问法内政部应用程序的凭证。攻击者称，此次攻击是对法国政府逮捕“ShinnyHunters/hollow”网络犯罪团伙成员的报复，表示获取了超1640万法国人（约占法国总人口四分之一）的个人信息，并发布三张部分涂黑的个人信息截图作为成功入侵的证据，未说明具体窃取数据，但可能包含个人身份信息、犯罪记录和机密案件详情等敏感信息。

交通物流

1.波兰航天局遭受网络攻击

3月，波兰航天局（POLSA）IT系统遭网络攻击。攻击者通过未经授权访问其电信基础设施的方式入侵系统。事件发生后，POLSA为保护数据安全，立即将内部网络与互联网断开连接，导致其网络服务暂时中断。

2.黑客组织LabDookhtegan攻击伊朗航运船只通信网络

3月，黑客组织LabDookhtegan称破坏了伊朗两家主要航运公司共116艘船只的通信网络，这是针对伊朗海事领域的最大规模网络攻击之一。攻击目标为50艘伊朗国家油轮公司（NITC）的船只和66艘伊朗伊斯兰共和国航运公司（IRISL）的船只，这两家公司均受美国财政部、英国和欧盟制裁。行动切断了船只间、船只与港口及外部的通讯渠道，严重阻碍伊朗航运活动，受影响系统或需数周才能全面恢复，此次行动旨在配合美国对伊朗盟友也门胡塞武装的军事行动。

3.俄罗斯APT28黑客组织攻击西方涉乌物流业

5月，美国、英国、欧盟和北约网络安全与情报机构联合发布公告，称俄罗斯总参谋部情报总局（GRU）下属黑客组织APT28对支持乌克兰防务的全球物流与科技企业发起网络攻击。APT28综合运用暴力破解、凭证钓鱼、零日漏洞等技术，包括通过“洋葱网络”（Tor）和虚拟专用网络（VPN）暴力破解凭证，使用多语言诱饵和伪造登录页面进行鱼叉式网络钓鱼，利用WinRAR漏洞（CVE-2023-38831）和OutlookNTLM认证漏洞（CVE-2023-23397）窃取凭证等。攻击目标涵盖交通运输（铁路、航空、海运）、IT服务与供应链、国防承包商和关键基础设施，APT28还入侵乌克兰边境联网摄像头，监控援乌物资运输。

4.俄罗斯航空因大规模网络攻击停飞

7月，俄罗斯航空公司遭亲乌克兰黑客组织（“沉默的乌鸦”与“白俄罗斯网络游击队”）的瘫痪性网络攻击。此次攻击导致俄航的运营系统中断，被迫取消超过54个往返航班，严重影响俄罗斯国内出行。正值出行高峰期，莫斯科谢列梅捷沃机场大量航班显示取消。

5.欧洲机场遭受勒索软件攻击导致服务中断

9月，美国国防巨头RTX的子公司柯林斯航空航天（CollinsAerospace）公司的vMUSE自助服务软件（支持乘客值机、行李标记和登机）遭到勒索软件攻击，导致英国伦敦希思罗机场、比利时布鲁塞尔机场、德国柏林机场和爱尔兰都柏林机场等欧洲各大机场的登机和行李处理系统瘫痪，数千名乘客滞留，数百趟航班延误或取消。截至9月24日，各机场运营仍未完全恢复：柏林机场称值机和行李处理系统尚未恢复，警告航班将进一步延误取消；布鲁塞尔机场称部分航班仍中断；希思罗机场称大多数航班运行正常，但敦促乘客出行前查看时刻表；都柏林机场称部分航空公司系统未恢复，需依赖人工操作。

金融保险

1.朝鲜黑客窃取价值超百亿元的加密货币

2月，加密货币交易所Bybit遭遇了史上最大单次黑客攻击，其以太坊冷钱包中被盗约49万枚ETH，价值约14.6亿美元。区块链分析指出，朝鲜黑客组织Lazarus Group是此次攻击的幕后黑手。攻击发生在一次从冷钱包向温钱包的例行转账过程中。黑客并未直接攻击钱包本身，而是首先入侵了Bybit所使用的第三方多签钱包（Safe Wallet）的前端基础设施。他们通过供应链攻击，篡改了交易签名界面的代码，诱导Bybit的多名授权签名者在不知情的情况下批准了恶意交易，从而将资金转移。

2.马来西亚多家券商系统遭受境外攻击

4月，马来西亚证券交易所证实，部分投资者的线上交易账户遭黑客入侵。攻击并非通过窃取个人密码，而是利用了券商系统本身的漏洞。黑客主要来自海外，并操纵这些账户在当地交易所进行了未经授权的股票买卖。此次攻击造成了多项后果：投资者账户被用于买卖高峰控股、马来西亚邮政等特定股票，涉及伪造交易。马来西亚证券委员会和交易所已介入调查，并与券商合作处理。有业内人士指出，此前的试探性攻击可能为本次大规模行动做了准备。

3.伊朗封锁互联网抵御以色列网络攻击

6月，伊朗遭以色列大规模轰炸的同时，网络空间也遭到以色列一方攻击，亲以色列黑客组织PredatorySparrow声称入侵伊朗Sepah银行和Nobitex加密货币交易所，导致银行服务中断和数字货币失窃。为抵御网络攻击，伊朗政府从6月18日起封锁互联网，禁止官员和安全人员使用接入互联网的设备，导致该国互联网流量几乎归零，固定电话服务也受限制，无法拨打或接听国际电话。伊朗国家电视台指控WhatsApp为以色列收集数据，敦促民众删除该软件。经过数日封锁，伊朗政府从21日起逐步解封互联网，25日恢复正常服务。

4.俄罗斯保险巨头VSK遭勒索软件攻击

11月，俄罗斯最大保险公司VSK遭大规模网络攻击。据专家分析，攻击很可能采用了勒索软件的“双重勒索”手法，不仅加密关键数据，还可能破坏了备份系统。攻击导致VSK数字服务全面瘫痪长达七天，创下俄金融业纪录。超过3300万个人和50万企业客户的医疗、车险等业务陷入停滞，理赔流程中断，客户服务混乱。公司域名一度被劫持。VSK选择不支付赎金而自行恢复，延长了恢复周期。

军工

1.菲律宾陆军遭受网络攻击

2月，菲律宾陆军证实其系统遭到黑客组织“非法访问尝试”。攻击方式为未经授权的系统入侵。陆军称攻击已被遏制，未发现数据泄露或损害。但第三方安全组织报告显示，黑客组织声称窃取了约1万名军人的敏感个人信息，包括姓名、地址、医疗及财务记录等，该说法真实性待核实。陆军表示已采取对策加强网络安全。

2.俄罗斯国防企业NPOMars疑遭网络攻击泄露大量敏感数据

3月，有黑客组织宣称从俄罗斯重要国防企业NPOMars窃取250GB敏感数据，泄露样本以技术手册及其他PDF文档为主，文件创建或更新时间从2017年至2025年不等。该组织称数据包括用于“机动控制、反潜防御（ASD）与导弹武器管理、通信”的作战信息与指挥系统SIGMA、舰载导航与战术系统TRASSA，以及扫雷舰自动化控制系统DIEZ等。NPOMars公司负责为俄军提供各类自动化控制系统，以及舰船、装甲运兵车和坦克等所需的作战信息和控制系统，对此次事件未作回应。

3.巴基斯坦空军对印度空军发动网络攻击

5月，巴基斯坦空军网络战部队对印控克什米尔的印度空军某地区司令部发动了持续五个多小时的网络攻势，专门攻击其基础设施的网络地址，导致印方网络持续中断并长时间瘫痪。此次攻击造成了严重后果：印度全国32个机场因此暂停所有航班的起降，预计停飞将持续至5月15日，已影响数千名旅客，并可能对印度造成重大经济影响。巴基斯坦官员称此举为一次“战略性的网络反应”。

4.俄罗斯黑客组织KillNet为俄军编制军事地图

5月，俄罗斯黑客组织KillNet宣布，利用卫星侦察数据以及来自乌克兰政府和企业的大量泄露信息（总计17.8TB），结合三维地形建模元素，开发出“矩阵”（matrix）交互式地图。该地图标注了乌克兰武装部队的各类情报，包括乌军弹药库和军事装备坐标、总部和部队档案、航空资产位置、军人个人档案以及军事装备技术参数等，还能结合天气预报自动计算弹道打击诸元。俄军人员可通过该地图获取乌克兰国防企业的生产能力、后勤和人员信息、军事人员名单以及乌克兰军事总部的计划和文件。KillNet组织将把“矩阵”地图移交给俄罗斯国防部，并进一步完善软件，使其能在真实战斗条件下直接提供完整的数据识别功能。

5.俄罗斯Gaskar集团遭受乌克兰黑客组织网络攻击****

6月，乌克兰“乌克兰网络联盟”（UAC）和“黑猫头鹰”（BOTeam）两大黑客组织称，成功入侵俄罗斯无人机开发商Gaskar集团的系统，窃取和破坏数TB技术数据。UAC发布据称是Gaskar集团员工护照扫描件的被盗数据样本，称入侵了该集团大楼安保系统并封锁大楼，迫使员工触发火警警报离开。乌克兰国防情报总局（HUR）“证实”此次攻击并表示参与其中，称行动导致Gaskar集团会计系统、生产软件和互联网基础设施瘫痪，窃取的数据（包括无人机设计文件、源代码和员工记录）已移交乌克兰国防军。Gaskar集团承认遭网络攻击，但否认生产陷入停滞，称公司仍正常运营。

6.乌克兰HUR入侵俄罗斯图波列夫公司

8月，乌克兰国防情报总局（HUR）称成功入侵俄罗斯图波列夫公司（俄军战略轰炸机主要开发单位）的系统，窃取4.4GB机密数据，包括公司管理层官方通信、人员个人数据（家庭住址、电话号码、电子邮箱等）、工程师和设计师简历、采购记录以及闭门会议议程等。HUR称已秘密监控图波列夫公司内部文件流数月，通过此次行动掌握了俄罗斯战略航空兵维护保障人员的大量信息，已发布部分资料截图作为证据，并将图波列夫公司主页篡改为侮辱性图片。

7.俄罗斯黑客组织Lynx窃取英军大量敏感信息

9月，俄罗斯黑客组织Lynx入侵英军维护与建筑承包商DoddGroup的系统，窃取多达4TB数据，并将其中约1千份文件发布到暗网，部分文件标记为“受控文件”或“官方敏感文件”。这些文件涉及英国皇家空军莱肯希思基地（驻有美国空军F-35隐形战机，据称存放核弹）、波特里斯基地（北约防空网络绝密雷达站）、普雷丹纳克基地（英国国家无人机中心），以及英国皇家海军卡尔德罗斯航空站等，包括各基地访客列表（含承包商和国防部人员姓名、车辆登记号码、手机号码、电子邮箱等）、内部电子邮件指南和安全说明、建筑公司Kier在相关基地的工作文件，以及与英国皇家海军、空军部分基地相关的资料等。DoddGroup公司承认有黑客窃取“有限的数据”，并称已采取保护和恢复系统的措施。

电力能源

1.乌克兰HUR通过网络攻击重创俄罗斯Gazprom

2月，乌克兰国防部情报总局（HUR）宣称其网络部门重创俄罗斯最大国有能源企业俄罗斯天然气工业股份公司（Gazprom）。此次行动导致Gazprom约2万名系统管理员无法登录公司信息系统，HUR在其服务器上植入定制恶意软件，严重破坏了众多信息系统的数据，受损系统包括各信息系统备份、旗下约390家子公司和分支机构的数据库、1C服务器集群及所有文件（合同、订单、指令等）、辅助系统（数据保护、服务器控制、管理系统）数据、管道等分析数据库及SCADA系统服务器、可用服务器的操作系统和BIOS。HUR还称窃取了数百TB数据，包括超2万个带电子签名的用户账户，已完全掌握该公司内部架构，Gazprom未回应。

2.瑞典国营电力公司遭遇勒索软件攻击

10月，瑞典国家电力系统管理机构Svenska kraftnät遭勒索软件组织Everest攻击，约280GB内部数据可能被窃。公司称事件影响“有限的外部文件传输解决方案”。攻击的后果是核心数据安全面临严重威胁，但关键任务系统与电力供应未受影响。公司已向警方报案，并与国家网络安全部门合作评估影响。由于调查，尚无法确认具体泄露信息。

其他

1.DeepSeek遭受高频次境外网络攻击

1月，DeepSeek持续遭受境外网络攻击。据奇安信监测，攻击自1月3日开始，于1月27日手段升级，从相对易防的反射放大攻击转为难以识别清洗的HTTP代理等应用层攻击，防御难度激增。攻击峰值对应北美时段，显示跨境特征。

2.美国知名报业集团遭受网络攻击

2月，美国知名报业集团Lee Enterprises遭受网络攻击，导致系统持续多日宕机，业务运营受到严重影响。此次事件迫使集团关闭多个关键系统，造成旗下数十家报纸的印刷和数字发行中断，记者编辑无法正常工作，大量读者未能收到报纸。这已是该集团第二次遭受重大网络攻击，此前在2020年美国大选前曾遭伊朗黑客入侵。公司已展开调查并通知执法机构。

3.日本电信巨头NTT遭受网络攻击

2月，日本电信巨头NTT的内部系统遭黑客未经授权访问。攻击者入侵了其“订单信息分发系统”，并于2月15日被发现尝试在网络内横向移动，后经处置威胁被遏制。此次事件导致约1.8万家企业客户的敏感信息泄露，内容包括公司名称、代表姓名、合同编号、联系方式、地址及服务使用信息等，但个人消费者数据未受影响。NTT表示将仅通过官网公告通知此事，不向客户单独发送通知。

4.韩国区块链平台WEMIX遭受黑客攻击

2月，韩国区块链平台WEMIX遭受黑客攻击。攻击者通过窃取其NFT平台“NILE”的认证密钥，成功进行了13次未经授权的代币提取操作。此次攻击导致约865万枚WEMIX代币被盗，价值约622万美元。事件造成WEMIX代币价格暴跌超30%，并被韩国数字资产交易所联合体（DAXA）列为“投资注意”资产、暂停存款。WEMIX基金会随后宣布了大规模回购计划以弥补投资者损失，并正在迁移基础设施以提升安全性。

5.欧洲家居零售龙头Fourlis遭受网络攻击

4月，报道称，欧洲家居零售龙头Fourlis集团（宜家特许经营商）遭遇勒索软件攻击。此次攻击造成的直接经济损失高达约2000万欧元，主要冲击了其在希腊、塞浦路斯等国的宜家门店补货及2024年12月至2025年2月的电商运营。公司未支付赎金，在外部专家协助下恢复了系统，并成功阻止了后续攻击。调查未发现数据被盗或泄露的证据，相关国家的数据保护机构已获通报。目前尚无组织宣称负责。

6.美国知名医疗上市公司达维塔遭受勒索攻击

4月，美国知名医疗透析服务商达维塔遭遇勒索软件攻击，攻击导致其部分网络系统被加密。此次事件对公司的业务运营造成了影响。作为关键医疗服务提供商，达维塔在继续提供病患护理的同时，已采取将受影响系统从网络中隔离等措施。公司表示，目前无法估计此次业务中断的持续时间和最终影响程度。事件正在由第三方专家评估，并已报告执法部门。达维塔在美国拥有近3000家门诊诊所，为约20万名患者提供透析服务。

7.美国电信巨头AT&T再次泄露近亿条用户数据

6月，黑客组织ShinyHunters在俄罗斯黑客论坛上发布美国电信巨头AT&T的8800万条用户记录，包含用户全名、出生日期、电话号码、电子邮箱、住址和社会安全号码（SSN）等，信息详细到可构建完整虚假身份档案，用于欺诈和身份盗窃。AT&T的Snowflake云环境曾于2024年4月遭黑客入侵，泄露近1.1亿客户通话和文本元数据，此次泄露的三个CSV文件数据结构和格式更清晰，且SSN已解密，更易被恶意利用。AT&T称正在全面调查，且此次泄露数据与2024年Snowflake数据泄露无关。

8.乌克兰HUR攻击俄罗斯Filanco集团

8月，乌克兰国防部情报总局（HUR）的网络部门对莫斯科的Filanco集团进行大规模网络攻击。HUR声称，此次攻击导致600套虚拟机、24款虚拟机管理程序和大约3100台网络交换设备无法运行，800多TB数据被破坏，还从该公司内部电子钱包中提取约合130万美元资金并“清零”。此外，专门向俄罗斯安全人员销售“应急手提箱”的在线商店也遭入侵，主页内容被HUR替换。Filanco集团是提供互联网和托管服务的互联网服务提供商，客户达2万多家，包括Beeline、MGTS、24tv等俄罗斯主要电信运营商及各类国家安全机构。

9.越南信用信息中心遭受大规模数据泄露

9月，网络犯罪团伙ShinyHunters从越南信用信息中心（CIC）数据库中窃取超过1.6亿条记录，考虑到越南人口约1.02亿，此次事件成为越南史上规模最大的数据泄露事件。ShinyHunters在暗网论坛上出售这些数据，包括姓名、地址、身份证号码、债务和收入记录、风险分析及其他敏感个人身份信息。越南网络应急响应小组（VNCERT）表示，此次事件涉及未经授权访问越南国家银行数据库；CIC和越南国家银行则强调，银行账号、余额、信用卡/借记卡号、CVV码和交易记录等高度敏感财务细节未泄露。CIC是越南政府国家级信用信息库，负责收集、维护和发布来自银行、金融机构等的信用相关数据，在越南金融体系中起关键作用。

10.中国国家安全机关破获美国国家安全局重大网络攻击案

10月，中国国家安全机关正式披露一起重大网络攻击案。美方自2022年起，通过境外品牌手机短信漏洞控制工作人员手机窃密，并利用窃取的凭证入侵国家授时中心计算机。2023年至2024年，更部署新型平台，启用42款特种武器，对内部网络实施高烈度攻击，企图渗透至国家重大基础设施“高精度地基授时系统”。此次攻击意图破坏“北京时间”安全稳定运行，一旦得逞将可能引发通信故障、金融系统紊乱、电力中断、交通瘫痪等严重后果，甚至危害国际时间体系。国家安全机关已成功处置，消除隐患。

11.美国Anthropic公司挫败人工智能策划的大规模网络间谍行动

11月，美国Anthropic公司发布报告称，首次发现并挫败一起利用其人工智能工具Claude窃取数据的大规模网络间谍活动。此次活动涉及医疗保健机构、紧急服务部门、政府机构和宗教机构等30余家组织，攻击者将安装在KaliLinux操作系统上的人工智能编码工具ClaudeCode作为攻击平台，把操作指令嵌入CLAUDE.md文件，为每次交互提供持久上下文。攻击者利用Claude和ClaudeCode自动处理80%至90%的操作流程，包括网络扫描、生成漏洞利用代码、爬取内部系统以及打包窃取的数据等，人类操作员仅宏观监督。攻击者将提示语伪装成渗透测试任务，拆分恶意指令为看似无害的子任务，绕过Claude安全防护，还利用ClaudeCode生成专门的Chisel隧道实用程序绕过检测，将恶意可执行文件伪装成合法Microsoft工具。Anthropic公司强调，尽管人工智能工具可大幅提高攻击效率，但受限于人工智能幻觉等因素，目前难以实现完全自主的网络攻击。

12.韩国电商巨头Coupang泄露3400万客户数据

11月，韩国电商巨头Coupang承认发生韩国史上最大规模的数据泄露事件之一，攻击者在五个月内窃取了近3400万韩国客户的个人信息，可能牵涉韩国65%的人口。Coupang称，攻击者从2025年6月24日通过海外服务器入侵公司系统，11月18日才发现账户遭入侵，后续调查发现约3370万个客户账户受影响。泄露的数据包括姓名、电话号码、电子邮件地址、收货地址和完整的订单历史记录等，但信用卡号、支付信息和账户密码等高度敏感财务数据未被窃取。Coupang认为此次攻击是一名离职的前员工所为，此人离职后加密签名密钥未被撤销，导致攻击者利用该密钥创建欺诈性访问令牌，绕过标准安全认证程序，韩国首尔地方警察厅正在调查。

★

★ ★ ★

★

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信息安全与通信保密杂志社 Cismag Cismag《2025全球多领域重大网络攻击事件盘点与趋势预警》