罗马尼亚负责全国水资源管理的政府机构——国家水务署(Administrația Națională Apele Române)近日遭遇严重勒索软件袭击,约一千台计算机被迫下线,波及该机构在全国 11 个区域办事处中的 10 个。本次事件导致电子邮件、数据库、官网以及地理信息系统等关键数字业务中断,但当局强调,全国水务基础设施的运行控制仍保持在“正常参数范围内”。
据官方说明,水务调度目前主要通过值班调度与语音通信等方式进行,这意味着在信息系统大面积瘫痪的情况下,运营人员已临时回退到以人工协调为主的工作模式。截至目前,尚无任何黑客组织公开声称对此次入侵负责,但攻击者在系统中留下信息,要求该机构在七天内与其联系,这一做法与典型勒索软件团伙的谈判套路高度相似。
罗马尼亚国家网络安全局(DNSC)表示,攻击的初始入侵途径尚未查明,相关取证工作仍在进行中。调查发现,黑客并未使用自制或第三方加密工具,而是直接调用了微软 Windows 内置的合法功能 BitLocker,对系统磁盘进行加密锁定,从而阻断管理方对受感染终端的访问。在正常情况下,BitLocker用于数据保护,但一旦攻击者获取到管理员权限或恢复密钥控制权,便可将这一安全功能转化为勒索武器。
DNSC 正会同罗马尼亚国内情报部门联合调查事件来源,并推进受影响信息系统的恢复工作。当局尚未披露恶意程序在内部网络中横向传播的细节,也未说明是否涉及高权限凭据泄露。目前官方没有给出数字系统全面恢复的时间表,多数核心业务仍需依赖人工与线下流程维持运转。
尽管罗马尼亚此次事件未直接导致水务设施物理损坏,但近期欧洲多起案例显示,针对关键基础设施的网络攻击已具有现实的实体破坏风险。例如 2024 年丹麦柯厄镇曾因黑客操纵水压控制,出现管道爆裂和短时断水,后来被归因于亲俄组织 Z-Pentest;次年丹麦选举网站又遭到与 NoName057(16)有关的分布式拒绝服务攻击。
本月早些时候,德国也因一系列针对选举系统和空中交通管制网络的网络事件召见俄罗斯大使,一些欧洲政府将此类持续升级的攻击视作“混合战”一部分,把针对关键基础设施的数字打击与地缘政治施压相联系。安全业内普遍指出,公用事业和基础设施领域在网络安全投入方面长期滞后,运维团队常在保障业务连续性与加强防护之间艰难平衡,往往在发生重大事件后才被迫加固防线。
目前尚难判断这起罗马尼亚水务署事件是否属于更大规模协调行动的一环,但其发生的时间点、攻击对象以及利用合法加密功能实施勒索的技术路径,都与近年愈发频繁的国家背景或机会主义式关键基础设施攻击高度吻合。在调查与系统修复完成之前,这一事件将继续考验当地公共部门在极端条件下依靠人工手段维持水务运营的能力。