【量子位 2026年1月31日讯】欧洲能源安全再添警示信号。1月30日,波兰数字事务部下属计算机应急响应团队(CERT)发布技术报告披露,2025年12月29日,疑似俄罗斯政府黑客利用电力设施的基础安全漏洞,成功入侵波兰多座风电、光伏电站及一座热电联产厂。尽管未造成大规模停电,但风电与光伏电站的监控和控制系统因恶意软件攻击陷入瘫痪,暴露出欧洲分布式能源基础设施的严重安全隐患。
报告指出,黑客几乎未遇抵抗——被攻击系统普遍使用默认用户名和密码,且未启用多因素认证(MFA),这两个“低级错误”成为入侵的关键突破口。更值得关注的是,此次攻击还引发“黑客组织归属”争议:波兰官方指向擅长网络间谍活动的“狂暴熊”(Berserk Bear),而国际安全公司ESET与Dragos则认为是曾多次瘫痪乌克兰电网的“沙虫”(Sandworm)所为。
一、攻击细节:从入侵到破坏,黑客的“无障碍”行动
波兰CERT的报告还原了此次攻击的完整链条,从漏洞利用到恶意软件部署,全程凸显被攻击系统的安全脆弱性。
1. 漏洞利用:默认密码成“万能钥匙”,双因素认证缺失形同虚设
根据报告技术分析,黑客成功入侵的核心原因在于两大基础安全措施的缺失:
-
默认凭证未修改:风电、光伏电站及热电联产厂的控制系统(如SCADA系统、远程监控平台)均使用设备出厂时的默认用户名和密码(如“admin/admin”“user/password”),黑客通过公开的设备手册即可获取,无需复杂破解;
-
多因素认证缺位:所有被攻击系统均未启用MFA,意味着黑客获取账号密码后可直接登录,无需额外验证步骤。波兰CERT在报告中直言:“这是任何网络系统都应避免的基础错误,相当于给大门配了钥匙却从不锁门。”
这种“零防御”状态让黑客轻松突破防线。第三方安全公司Zetter-Zeroday的调查显示,黑客在热电联产厂的网络中潜伏了5-9个月,期间未被发现,直至2025年12月29日集中部署恶意软件。
2. 破坏行动:擦除软件攻击控制系统,风电光伏率先“沦陷”
黑客在入侵后实施了“破坏性攻击”,目标直指能源设施的核心运行能力:
-
部署擦除恶意软件(Wiper Malware):该软件旨在彻底删除系统文件、破坏硬件驱动,使设备无法正常运行。报告将其比作“网络纵火”,称“攻击性质纯破坏性,与物理世界的蓄意纵火行为无异”;
-
攻击效果分化:热电联产厂的入侵检测系统(IDS)触发警报,及时阻止了恶意软件扩散,未造成关键设备瘫痪;但风电与光伏电站的监控和控制设备未能幸免,系统完全失效,运维人员无法远程监测发电状态或调整设备参数,只能依赖现场人工操作。
尽管攻击未导致停电,波兰CERT解释称“被攻击设施的发电量不足以影响全国电网稳定”,但承认若黑客进一步突破,可能引发局部供电中断。此前波兰官员曾担忧“黑客或可切断50万用户供电”,与最终结果存在一定出入。
二、黑客归属争议:“狂暴熊”还是“沙虫”?背后折射不同威胁逻辑
此次攻击的“幕后黑手”归属成为焦点,波兰官方与国际安全公司的结论分歧,反映出俄罗斯黑客组织不同的行动特征与战略定位。
1. 波兰CERT:指向“狂暴熊”,首次发现其破坏性行动
波兰官方在报告中明确将攻击归因于俄罗斯黑客组织“狂暴熊”(Berserk Bear,又称“Dragonfly”),该组织与俄罗斯联邦安全局(FSB,克格勃继任机构)关联,过往以网络间谍活动为主:
-
传统行动模式:“狂暴熊”长期针对能源、政府机构开展间谍活动,通过窃取数据、监控系统获取情报,极少实施破坏性攻击,更无瘫痪关键基础设施的记录;
-
行动反常点:若此次攻击确为“狂暴熊”所为,将是其首次开展纯破坏性行动,可能标志着俄罗斯黑客组织战略的转变——从“情报收集”向“基础设施威慑”扩展。
2. 国际安全公司:认定“沙虫”,吻合其能源设施攻击史
ESET(斯洛伐克)与Dragos(美国)则通过恶意软件特征、攻击手法比对,认为攻击由“沙虫”(Sandworm)组织实施,该组织隶属于俄罗斯军事情报总局(GRU),是全球知名的“能源杀手”:
-
过往“战绩”:“沙虫”曾在2015年、2016年、2022年多次攻击乌克兰电网,直接导致大规模停电,影响数百万用户,具备成熟的能源设施破坏经验;
-
技术证据支撑:ESET发现攻击中使用的“Dyno Wiper”擦除恶意软件,与“沙虫”此前使用的工具存在技术同源性;Dragos则指出,攻击中对分布式能源系统的精准定位,与“沙虫”近年来关注“分散式基础设施”的策略一致。
双方结论的差异暂未影响事件定性——无论归属如何,均指向俄罗斯政府背景黑客组织,进一步加剧欧洲对“能源基础设施网络威胁”的担忧。
三、行业警示:分布式能源成新靶场,安全投入不足埋下隐患
此次攻击暴露的不仅是波兰的安全漏洞,更揭示出全球分布式能源(风电、光伏等)基础设施普遍存在的安全短板,成为黑客攻击的“新软肋”。
1. 分布式能源的安全困境:数量多、投入少、连接广
Dragos在其报告中分析,分布式能源设施成为攻击目标的核心原因的三大脆弱性:
-
数量庞大且分散:风电、光伏电站多分布在偏远地区,数量远超集中式电厂,难以实现统一的安全管理,易成为“防御死角”;
-
安全投入严重不足:相较于核心电网(如输电线路、大型电厂),分布式能源的 cybersecurity 预算通常仅为前者的1/5-1/3,基础安全措施(如MFA、漏洞扫描)普及度低;
-
依赖远程连接:为方便运维,分布式能源大量使用互联网或专用网络远程控制设备,增加了黑客的入侵路径,且部分设备使用老旧操作系统,缺乏安全更新。
“过去黑客聚焦集中式电网,现在分布式能源成为新目标,因为它们更脆弱,且能通过破坏局部设施制造恐慌。”Dragos高级研究员杰森·里德(Jason Reed)表示。
2. 波兰的整改与欧洲的应对
事件发生后,波兰已启动紧急整改措施:
-
短期行动:要求所有能源设施48小时内修改默认密码、启用MFA,对关键系统进行漏洞扫描;
-
长期规划:拟投入2.3亿欧元升级能源设施 cybersecurity 体系,包括部署更智能的入侵检测系统、建立跨设施的安全信息共享平台。
欧洲层面也加速推进防护协同——欧盟委员会计划2026年出台《分布式能源安全条例》,强制要求成员国的风电、光伏等设施满足最低安全标准,并定期开展安全审计。“单一国家的漏洞可能引发全欧洲的连锁风险,必须建立统一的防御体系。”欧盟数字政策专员玛丽娅·加布里埃尔(Mariya Gabriel)强调。
结语:能源安全再添“网络维度”,基础防护不可忽视
波兰电网攻击事件再次证明,在地缘政治紧张背景下,能源基础设施已成为网络战的重要靶场,而“低级安全漏洞”可能成为引发危机的导火索。从默认密码到缺失的双因素认证,这些本可避免的问题,暴露出部分国家对能源设施 cybersecurity 的轻视。
对于其他国家而言,此次事件是重要警示:一方面需加大对分布式能源安全的投入,补齐基础防护短板;另一方面要加强国际协作,建立黑客攻击预警与溯源机制。毕竟,在网络空间中,能源设施的安全没有“国界”,任何一个漏洞都可能成为威胁全局的突破口。
目前,波兰CERT已将完整技术报告提交欧盟网络安全局(ENISA),后续或将推动更严格的欧洲能源网络安全标准出台。而“狂暴熊”与“沙虫”的归属争议仍在持续,更多证据或需等待进一步的技术溯源结果。
