【安全资讯】俄罗斯Sandworm黑客组织被指对波兰能源系统发动未遂数据擦除攻击

概要：

近期，网络安全领域再次响起警报，俄罗斯国家支持的黑客组织Sandworm被曝与一起针对波兰能源基础设施的网络攻击有关。此次事件发生在2025年12月底，攻击者试图部署一种名为DynoWiper的新型破坏性数据擦除恶意软件，旨在瘫痪关键能源系统。鉴于Sandworm组织过往在乌克兰等地发起的破坏性攻击记录，此次未遂事件凸显了国家级黑客行为对关键基础设施构成的持续且严重的威胁。

主要内容：

根据ESET的研究报告，此次攻击发生在2025年12月29日至30日，目标是波兰的两座热电联产厂以及一个用于管理风能和光伏等可再生能源发电的控制系统。攻击中使用的DynoWiper恶意软件被设计为遍历文件系统并删除文件，最终导致操作系统无法使用，必须从备份恢复或重新安装。波兰总理唐纳德·图斯克在新闻发布会上明确指出，所有迹象表明这些攻击是由与俄罗斯情报部门直接相关的组织策划的。

Sandworm组织（亦被追踪为UAC-0113、APT44和Seashell Blizzard）被认为是俄罗斯军事情报总局（GRU）第74455军事单位的一部分，自2009年以来一直活跃。该组织以实施破坏性和毁灭性网络攻击而闻名，其攻击手法通常旨在造成物理世界的影响。例如，大约十年前，该组织对乌克兰能源电网的攻击曾导致约23万人断电。

尽管ESET未公布DynoWiper的详细技术细节，仅确认其杀毒软件将其检测为Win32/KillFiles.NMO，并提供了其SHA-1哈希值，但安全专家指出，此类擦除器攻击的成功通常依赖于前期已获得的高权限访问。攻击者可能通过鱼叉式钓鱼、利用未修补漏洞或其他初始入侵手段，首先渗透进入目标网络，潜伏并横向移动，最终在关键系统上部署破坏性载荷。

此次对波兰能源系统的攻击虽未成功造成大规模瘫痪，但再次敲响了警钟。它表明具有国家背景的APT组织正持续将关键基础设施，特别是能源领域，作为高价值攻击目标。防御者需加强网络监控、及时修补漏洞，并做好关键数据的离线备份，以应对日益复杂的定向破坏攻击。