波蘭政府指出去年12月底電力系統遭到大規模網路攻擊,駭客意圖打亂再生能源設施與配電營運公司之間的通訊,但並未得逞。資安公司ESET與Dragos公布調查結果指出,攻擊者的身分與俄羅斯駭客Sandworm有關,他們利用名為DynoWiper的資料破壞軟體(Wiper),造成部分遠端終端單元(RTU)永久損壞(Bricking)。波蘭政府近日公布詳細調查結果,透露更多細節。
1月30日波蘭電腦緊急應變團隊CERT Polska發布一份詳細的調查報告,指出外號為Dragonfly、Static Tundra、Berserk Bear,以及Ghost Blizzard的俄羅斯駭客組織,於去年12月29日攻擊超過30個風力與太陽能光電系統、一家為近50萬用戶供應能源的大型熱電共生(Combined Heat and Power,CHP)發電廠,以及一家製造公司,駭客的目的就是進行破壞,由於這起事故正好發生在新年前夕,波蘭面臨低溫及暴風雪,假若駭客得逞,影響將會相當廣泛。
針對這起事故帶來的影響,CERT Polska表示,駭客同時影響資訊系統與工業控制環境的實體設備,其中對於再生能源的攻擊,造成發電設施與配電系統營運商的通訊中斷,不過電力的生產未受波及;熱電共生發電廠的事故,也未影響終端用戶的能源供應。
在這份調查報告當中,CERT Polska公布的資料不少與兩家資安公司出現差異,首先,是攻擊者的身分,他們認定是另一組與Sandworm沒有直接關連的俄羅斯駭客Dragonfly,再者,CERT Polska指出還有另一家製造業的公司受害,而且駭客使用的資料破壞工具共有兩種,除了ESET揭露的DynoWiper,還有以PowerShell打造的LazyWiper。
在三種類型設施的攻擊行動中,駭客下手的方式有所不同。他們對於風力與太陽能光電等再生能源系統,主要下手的標的是電網連接點(Grid Connection Point,GCP),入侵的管道是提供VPN服務的防火牆設備FortiGate,這些VPN系統未啟用多因素驗證(MFA),部分設備存在已知弱點。這些變電站大部分使用的遠端終端單元(RTU)設備,是搭配特定版本韌體的日立RTU560控制器,但也有使用Mikronika設備,駭客使用預設帳號上傳有問題的韌體,導致RTU設備不斷重新啟動,或是將系統檔案刪除。
除了對RTU設備下手,駭客也對保護繼電器與人機介面(HMI)進行破壞,主要也是利用預設帳號或弱密碼來達到目的,並部署DynoWiper。再者,CERT Polska提及所有電網連接點都採用四零四科技(Moxa)NPort 6xxx系列裝置伺服器,這些裝置都啟用網頁介面並使用預設帳密,駭客藉此將設備還原成出廠設定,然後變更密碼,並竄改設備的IP位址(如127.0.0.1),導致任何人都無法存取。
而針對發生在熱電共生發電廠的事故,駭客的活動最早可追溯到2025年3月,他們先進行偵察、未經授權存取特定資料,並試圖挖掘使用者憑證,藉此得到AD網域特權帳號的存取權限,並不受限制地進行橫向移動,然後試圖透過群組原則物件(GPO)部署DynoWiper,不過被EDR發現並予以攔截。CERT Polska根據鑑識資料指出,在駭客從事活動的期間,他們重覆存取位於受害企業網路邊界的VPN入口網站,而該VPN服務是由FortiGate架設而成。駭客透過多個未啟動多因素驗證的帳號進行存取,並使用Tor節點隱匿行蹤。
另一起與電力系統無直接關聯的攻擊行動,是針對製造業的公司而來,駭客利用存在已知弱點的Fortinet設備取得初期存取管道,然後利用指令碼竄改FortiGate組態以便後續能長期存取受害組織的網路環境,最終駭客試圖透過群組原則物件,部署PowerShell資料破壞軟體LazyWiper。再者,他們也嘗試入侵受害組織的M365雲端環境,存取Exchange、SharePoint,以及Teams等服務,並下載資料。
這起事故駭客針對4種廠牌的設備發動攻擊,我們連繫上Fortinet與四零四科技,在截稿之前未有進一步的消息。
熱門新聞
2026-02-01
2026-01-30
2026-01-30
