文章总结： Dragos报告揭示波兰约30个分布式能源站点遭ELECTRUM组织协同攻击。攻击者使用擦除恶意软件永久破坏OT设备固件，战术从集中转向边缘，暴露了新能源安全短板。建议实施网络分段、工控协议监控及严格访问控制，以防御针对分布式电网的物理破坏与协同威胁。 综合评分： 89 文章分类： 威胁情报,安全大事件,漏洞分析

波兰电力攻击案新证据：约30个分布式能源站点遭协同网络攻击

原创

网空闲话 网空闲话

网空闲话plus

2026年1月29日 07:05 北京

2025年底发生在波兰的系列攻击事件，却标志着战场已发生决定性转移——攻击矛头精准指向了电网最分散、却也日益关键的“末梢神经”：分布式能源站点。

近日，知名工业网络安全公司Dragos发布了针对此次事件的专项分析报告，揭露出远超此前公众认知的攻击规模与战术深度。这份报告不仅基于直接的事件响应取证，更从OT安全视角提供了关键性新证据，明确指出：此次协同网络攻击实际影响的分布式能源站点数量，很可能超过24个。这一发现彻底改变了事件的性质评估，从一起针对少数设施的孤立入侵，升级为一场大规模、协同化、旨在试探并破坏新型电力基础设施稳定性的战役级网络行动。

攻击者展现了对能源行业转型趋势的敏锐洞察，其战术从攻击“控制中枢”演变为瓦解“发电边缘”。这起事件不再仅仅是波兰一国的安全警报，更成为对全球所有正大力发展风电、光伏等分布式能源的国家与地区的一记沉重警钟。Dragos报告所揭示的新证据，为我们理解未来关键基础设施所面临的非对称威胁，提供了至关重要的现实样本与分析基础。

新证据：攻击规模与战术深度远超预期

1. 攻击规模的确认：Dragos报告基于直接的事件响应证据指出，尽管公开信息显示至少有12个站点受到影响，但通过技术分析评估，实际遭受入侵和破坏的站点数量“很可能至少是此数的两倍”，即达到或超过24个。这证实了攻击是一次大规模、协同的战役行动，而非孤立事件。
2. 攻击目标的具体化：新证据明确了受害设施不仅是泛指的“能源设施”，而是精准聚焦于分布式能源资源（DER）的运营技术（OT）核心。具体包括：

• 热电联产（CHP）设施的控制与通信系统。
• 风电场与太阳能电站的监控与数据采集（SCADA）接口、远程终端单元（RTU）。
• 关键支撑设备：如场站边界的防火墙、VPN网关、串行终端服务器等网络基础设施。攻击者在多个站点成功部署了“擦除器”（Wiper）恶意软件，永久性删除或损坏了OT设备的固件与配置，导致硬件“变砖”，必须进行物理替换，极大增加了恢复难度和成本。

1. 战术意图的演变：与2015年（乌克兰配电中心）和2016年（乌克兰输电变电站）ELECTRUM组织发起的、旨在直接导致停电的集中式攻击不同，此次攻击展现了新的战术维度：

• 目标转向“边缘”：攻击重心从电网的“控制中枢”下移至分散的“发电末端”，即大量接入电网的风光储等DER站点。这精准匹配了全球能源结构向分布式、可再生能源转型的趋势，暴露了新型基础设施的安全短板。
• 破坏模式升级：攻击不仅追求“中断通信”，更旨在造成“物理层破坏”。通过永久性损毁OT设备，攻击者试图抬高系统恢复的时间与经济门槛，这被视为一种更具持久破坏性的预演。
• 机会主义与规模化利用：报告分析认为，攻击者充分利用了分布式站点普遍存在的“配置同质化”弱点（为降低成本采用相同品牌、型号和默认设置的设备）。一旦在一个站点找到漏洞利用路径，便可快速批量复制到数十个站点，实现了攻击的规模化效应。

攻击者溯源与能力评估

Dragos以中等置信度评估认定，此次攻击由高级持续性威胁组织ELECTRUM（与Sandworm高度关联）负责。该组织正是2015年及2016年乌克兰电网攻击的幕后黑手，拥有深厚的电网OT协议知识、定制化恶意软件开发（如CRASHOVERRIDE, Industroyer2）和追求物理破坏效果的长期意图。此次对波兰的攻击，印证了ELECTRUM将其能力库适配并应用于新兴的分布式能源战场。

警示：新能源基础设施已成安全脆弱点

此次事件为全球能源行业，特别是可再生能源渗透率快速提升的国家，拉响了最高级别的警报：

1. 系统性风险聚合：单个分布式电站的容量可能低于各国关键基础设施保护的监管门槛（如美国BES标准通常高于1.2GW），但当数十甚至上百个此类站点被协同攻击时，其聚合的发电损失（报告中举例，攻击时可能影响约1.2GW）足以对电网频率稳定构成严重威胁，尤其在低惯性电网中可能引发连锁故障。
2. 安全与运营模式的内在冲突：DER的商业模式高度依赖经济、便捷的远程监控与维护，但这与网络安全所需的“最小化攻击面”原则相悖。当前，相关网络安全标准、法规和投资普遍滞后于此类设施的快速部署。
3. 防御建议迫在眉睫：针对此新威胁，报告援引SANS ICS关键控制框架，呼吁立即采取行动：

• 架构重构：对DER站点实施严格网络分段，杜绝“一点突破、全网尽失”。
• 可见性强化：部署能够解析工控协议（如IEC 104, DNP3）的专用监控系统，侦测异常指令。
• 访问严控：对所有远程运维实施多因素认证与最小权限管理。
• 漏洞聚焦：优先加固站点边界设备（防火墙、VPN），并管理其同质化风险。

结论

“波兰2025电力攻击案”的新证据揭示，国家级网络攻击者已将其打击蓝图正式覆盖至能源转型的核心——分布式可再生能源系统。超过24个站点遭协同破坏的事实表明，这不是试探，而是具备成熟能力和明确战术的实战。它向世界宣告：未来电网的安全战场，已在每一个风光电站的逆变器、RTU和防火墙旁展开。在能源转型的征途上，构建与物理设施同步甚至超前的网络韧性防御体系，已是从业者无可回避的生存命题。

参考资源

1、https://hub.dragos.com/report/electrum-targeting-polands-electric-sector

2、https://therecord.media/poland-electrical-grid-cyberattack-30-facilities-affected

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《波兰电力攻击案新证据：约30个分布式能源站点遭协同网络攻击》