波兰电力系统遭“沙虫”DynoWiper恶意软件攻击未遂

俄罗斯APT组织“沙虫”针对波兰电力行业部署DynoWiper恶意软件

2025年12月底，波兰能源基础设施成为俄罗斯国家级威胁行为体“沙虫”（Sandworm）发动的失败网络攻击的目标。波兰能源部长米沃什·莫特卡（Milosz Motyka）将此次攻击描述为波兰电力系统遭遇的“最大规模网络攻击”。攻击中使用了新型破坏性恶意软件DynoWiper，但波兰网络空间部队司令部成功检测并化解了威胁，避免了运营中断。

攻击的技术细节

虽然DynoWiper的具体入侵指标（IOCs）和技术分析仍然有限，但该恶意软件的名称暗示其具备擦除功能（wiper functionality），旨在删除或破坏数据而非窃取。与俄罗斯格鲁乌军事情报机构关联的“沙虫”组织，曾多次部署破坏性恶意软件，包括：

• NotPetya（2017年）——伪装成勒索软件的全球性数据擦除工具
• Industroyer（2016年）——针对乌克兰电网，导致大规模停电
• CaddyWiper（2022年）——用于攻击乌克兰组织的恶意软件

此次针对波兰电力行业的攻击，与“沙虫”一贯的战术、技术与程序（TTPs）相符，该组织常通过破坏关键基础设施获取地缘政治影响力。此前，“沙虫”已多次攻击乌克兰、美国及欧洲的能源行业，此次行动与其战略目标一致。

影响与应对

波兰网络空间部队司令部确认，攻击在造成实际损害前被成功中和，但初始感染途径的细节尚未公开。莫特卡部长强调了国家基础设施面临的网络威胁日益复杂，并表示：

“网络空间部队司令部在年底最后几天侦测到迄今为止针对我们能源行业最强烈的攻击。”

此次事件凸显了国家支持的APT组织对工业控制系统（ICS）和运营技术（OT）环境构成的持续风险。尽管波兰成功防御，但此次攻击为其他国家敲响警钟，需加强关键基础设施的安全防护。

安全团队建议

能源行业及其他关键基础设施组织应采取以下措施：

1. 加强监控 – 在ICS/OT网络中部署异常检测，及时识别擦除类恶意软件活动。
2. 网络分段 – 将OT系统与企业IT网络隔离，限制横向移动。
3. 更新事件响应计划 – 确保应急预案涵盖擦除类恶意软件和国家级APT的TTPs。
4. 开展威胁狩猎 – 主动搜寻**“沙虫”相关IOCs及“Living-off-the-Land”（LotL）**技术。
5. 与CERT合作 – 与国家级网络安全机构共享威胁情报，提升集体防御能力。

结论

尽管DynoWiper攻击未能得逞，但它凸显了关键基础设施面临的网络威胁日益演变。随着国家支持的攻击组织不断提升能力，防御者必须优先构建韧性，应对破坏性网络行动。波兰的快速响应展示了主动网络安全措施在抵御国家级威胁中的重要性。

更多更新，请关注CERT Polska及行业领先网络安全公司的威胁情报报告。