俄罗斯Sandworm组织利用DynoWiper恶意软件攻击波兰能源电网

俄罗斯APT组织Sandworm企图对波兰能源行业发动破坏性擦除攻击

2025年12月下旬，针对波兰电力电网的网络攻击已被归因于Sandworm，一个俄罗斯国家支持的高级持续威胁（APT）组织。攻击者试图部署DynoWiper，一种新发现的破坏性恶意软件，旨在擦除数据并破坏关键基础设施运营。尽管攻击最终未能得逞，但取证分析显示其技术复杂性不容小觑。

攻击技术细节

调查该事件的安全研究人员确认，Sandworm（又称APT44或Voodoo Bear）在攻击中使用了DynoWiper。该恶意软件展现出典型擦除器（wiper）的特征，包括：

• 文件破坏能力：针对系统关键数据和运营数据进行破坏
• 持久化机制：在横向移动过程中规避检测
• 网络传播技术：最大化影响互联系统的范围

虽然确切的初始感染途径仍在调查中，但基于Sandworm以往的攻击手法，钓鱼邮件、供应链攻击或利用未修补的漏洞（如Microsoft Outlook中的CVE-2023-23397）均为可能的入侵点。此次攻击发生在地缘政治紧张局势加剧之际，与俄罗斯针对北约盟国关键基础设施的一贯网络攻击模式相符。

影响与归因

尽管此次攻击未造成实际运营中断，但其潜在影响不容忽视：

• 级联故障风险：成功部署擦除器可能通过破坏工业控制系统（ICS）配置引发大规模停电或长时间断电。
• 混合战争升级：事件凸显俄罗斯持续将网络攻击作为地缘政治胁迫工具。
• 关键基础设施信任危机：能源行业频繁遭受攻击可能迫使欧洲各国投入高昂成本进行防御升级。

对Sandworm的归因基于其战术、技术与过程（TTPs），与以往攻击一致，包括2015/2016年乌克兰电网断电事件和2017年NotPetya擦除攻击。波兰计算机应急响应小组（CERT.PL）及私营部门合作伙伴正在进行全面取证分析。

缓解措施与建议

能源供应商及关键基础设施运营商的安全团队应采取以下措施：

1. 隔离ICS网络：通过严格网络分段将工业控制系统与企业IT环境隔离。
2. 部署终端检测与响应（EDR）：采用能够识别擦除器恶意行为的解决方案。
3. 强制多因素认证（MFA）：对所有远程访问运营技术（OT）系统的操作实施MFA。
4. 开展桌面演练：模拟擦除攻击场景，验证事件响应计划。
5. 监控妥协指标（IOCs）：关注CERT.PL即将发布的DynoWiper相关IOCs。

此次事件再次敲响警钟，提醒关键基础设施面临的国家支持威胁组织的持续威胁。各组织应优先提升对破坏性恶意软件的抵御能力，尤其是涉及国家安全的关键行业。