波兰30个风能和太阳能发电厂遭遇协同网络攻击

2025 年 12 月 29 日，波兰遭遇了一场有组织的袭击，目标是 30 多个风能和太阳能发电场，以及一个大型热电联产厂和一个制造厂。

袭击事件发生在严寒的冬季天气中，当时气温骤降，暴风雪威胁着国家的能源稳定。

所有行动都带有纯粹的破坏意图，旨在破坏关键基础设施，而不是窃取信息。

这些协同攻击是首次有记录的由老练的攻击组织实施的破坏性行动，标志着针对欧洲能源基础设施的威胁显著升级。

此次攻击的目标是作为可再生能源与配电网络连接点的变电站。这些变电站中的工业自动化设备成为攻击者的主要目标。

这些系统包括管理遥控操作的远程终端单元、显示设施状态的人机界面、防止电气损坏的保护继电器以及路由器和网络交换机等通信设备。

在取得对内部网络的访问权限后，攻击者进行了详细的侦察，然后在 12 月 29 日上午通过损坏的固件和定制的擦除恶意软件执行了他们的破坏计划。

农场与配电系统运营商之间的通信渠道中断，但发电并未受到影响。

Cert.pl 分析师确定了此次行动中使用的攻击基础设施，结果显示其与思科的“Static Tundra”、CrowdStrike 的“Berserk Bear”、微软的“Ghost Blizzard”和赛门铁克的“Dragonfly”等威胁组织的基础设施存在显著重叠。

这些研究人员指出，攻击者展现了对工业设备的强大攻击能力，并且长期以来一直专注于能源领域。

公开分析表明，这是首次公开归咎于该活动集群的破坏性行动，标志着其行动策略发生了重大转变。

擦除恶意软件部署和感染机制
攻击者在多个目标上使用了相同的擦除恶意软件，在通过长时间的基础设施渗透获得特权访问权限后，部署了定制的破坏性软件。

该恶意软件的运行目标是对目标网络中的数据进行不可逆转的破坏。

攻击者通过入侵账户和窃取运营信息站稳脚跟后，准备了部分自动化的攻击序列，以便同时激活。

当该恶意软件被部署到热电联产厂时，其执行被该组织系统上已运行的端点检测和响应技术阻止。

这家制造业公司也面临着类似的协同攻击，尽管其具体目标与能源目标有所不同。

这种攻击模式展现了周密的计划，恶意软件作为最终有效载荷，是在经过数周在目标环境中的秘密潜伏和广泛的准备和网络侦察之后才植入的。