俄罗斯Sandworm APT组织利用数据擦除恶意软件攻击波兰电网

俄罗斯Sandworm APT组织针对波兰电网发动破坏性网络攻击

网络安全研究人员将近期针对波兰电网的网络攻击归因于Sandworm，一个与俄罗斯格鲁乌（GRU）军事情报机构相关的高级持续威胁（APT）组织。此次攻击部署了数据擦除恶意软件，标志着针对关键基础设施的网络物理威胁进一步升级——这与该组织2015年臭名昭著的乌克兰电网攻击事件如出一辙，当时导致数十万人断电。

攻击技术细节

虽然具体的恶意软件家族和攻击向量尚未公开，但此次事件与Sandworm历史上的战术、技术和流程（TTPs）高度一致。该组织此前曾部署过以下恶意软件：

• BlackEnergy（2015年乌克兰电网攻击）
• Industroyer/CrashOverride（2016年乌克兰电网攻击，CVE-2016-5851）
• NotPetya（2017年全球数据擦除恶意软件，CVE-2017-0144）

针对波兰电网的攻击表明，攻击者可能使用了旨在破坏或擦除数据的数据擦除恶意软件，从而可能扰乱运营技术（OT）系统。与勒索软件不同，数据擦除恶意软件优先考虑破坏而非经济利益，因此成为国家支持的破坏活动的首选工具。

影响及地缘政治背景

此次攻击的时间点正值俄罗斯与北约成员国关系紧张之际，尤其是在俄罗斯入侵乌克兰之后。作为西方对乌军事援助的关键物流枢纽，波兰一直是俄罗斯网络行动的频繁目标。此次事件凸显了以下几个关键问题：

• 关键基础设施成为现代混合战争中的高价值目标。
• 网络间谍活动与动能效应之间的界限日益模糊，在国家支持的网络行动中尤为明显。
• 网络攻击溯源的挑战，因为取证证据往往是间接的。

关键基础设施运营商的建议

负责电网和其他关键基础设施的安全团队应采取以下措施：

1. 加强对OT特定威胁的监控，包括异常网络流量或对工业控制系统（ICS）的未授权访问。
2. 实施IT与OT网络的严格隔离，以限制横向移动。
3. 部署针对OT环境定制的终端检测与响应（EDR/XDR）解决方案。
4. 定期开展桌面演练，模拟网络物理攻击场景。
5. 审查并更新事件响应计划，以应对数据擦除恶意软件及破坏性攻击。

波兰计算机应急响应小组（CERT）及国际网络安全机构正在对此次事件展开调查。随着取证分析的深入，可能会公布更多细节，包括入侵指标（IOCs）。

持续关注请访问 SecurityWeek的报道。