网络安全研究机构ESET披露,去年12月针对波兰电力系统的一起未遂破坏行动,系俄罗斯政府背景黑客所为,其身份被锁定为曾多次发动能源破坏行动的“沙虫”(Sandworm)组织。
波兰能源部长米沃什·莫蒂卡(Milosz Motyka)上周对媒体表示,去年12月29日至30日,黑客试图攻击两座热电厂,并企图瘫痪风电等可再生能源设施与电力分销运营商之间的通信链路。 他称这是近年来针对波兰能源基础设施的“最强烈攻击”,波兰政府则将此事件直接归咎于莫斯科。 有当地媒体报道称,如果攻击得逞,可能导致全国至少50万户家庭遭遇供电和供暖中断。
本周五,网络安全公司ESET表示,其已经获取了此次行动中使用的一种具有破坏性的恶意软件样本,并将其命名为“DynoWiper”。 此类“清除型”(wiper)恶意软件的特征,是通过不可逆地销毁受感染计算机中的数据,使系统无法继续运行,从而造成设备和业务长时间瘫痪。
ESET在分析后将该恶意软件以“中等置信度”归因于“沙虫”黑客组织。 该组织被认为隶属于俄罗斯军事情报机构GRU,其过往多次利用破坏性恶意软件对能源系统发动攻击。 ESET称,DynoWiper在技术特征和行为模式上,与其此前针对“沙虫”恶意代码的研究结果存在“大量重合”,包括其针对乌克兰能源部门攻击时所使用的工具。
独立记者金·泽特(Kim Zetter)最先披露了相关调查进展。 她指出,此次针对波兰的攻击时间节点,几乎与“沙虫”首次公开已知的大规模能源攻击整整相隔十年。 2015年,该组织对乌克兰能源基础设施发起网络攻击,导致首都基辅周边超过23万户家庭遭遇停电。 一年后,乌克兰能源系统再度受到类似网络攻击的重创。
在本次攻击事件被挫败后,波兰总理唐纳德·图斯克(Donald Tusk)表示,波兰的网络防御体系发挥了作用,“在任何时间点,关键基础设施都没有真正处于被摧毁的危险之中”。 图斯克的表态在一定程度上试图缓解外界对波兰能源安全的担忧,但也凸显了在地缘政治紧张背景下,关键基础设施成为国家级网络攻防焦点的现实。