波蘭電網遭俄羅斯駭客發動大規模破壞攻擊，2家資安業者與CERT Polska發布調查報告

鎖定國家基礎設施的威脅再次升級，隨著今年1月下旬兩家資安公司發布報告，揭露俄羅斯駭客在去年底對波蘭電力系統的最新觀察，這場針對OT與電網安全的攻擊活動，成為國際關注的焦點。

此消息最初是在1月13日由該國能源部長Miłosz Motyka向媒體披露，兩日後，波蘭總理Donald Tusk召開記者會，公布事件初步狀況，指出該國能源基礎設施於12月29日至30日期間遭到攻擊，目標包括兩座熱電共生（CHP）電廠，以及負責管理風力與光電設施的再生能源調度系統。所幸事件已成功阻擋，未引發停電等實質風險。Donald Tusk總理表示，據掌握跡象來看，這起攻擊係由與俄羅斯情報部門直接聯繫的組織策畫。

波蘭總理Donald Tusk亦指出，政府正加速修訂《國家網路安全系統法》，並呼籲參議院於眾議院通過後儘速審議，使法案早日生效。該法將對風險管理、IT與OT防護，以及事件回應機制提出更嚴格要求。

到了今年1月下旬，有ESET、Dragos兩家資安業者發布相關調查報告，更引發重視的是，月底波蘭電腦應急響應小組（CERT Polska）公布更具體的調查結果。

CERT Polska指出，攻擊者是外號為Dragonfly、Static Tundra、Berserk Bear或Ghost Blizzard的俄羅斯駭客組織。值得留意的是，最新官方說法與早先兩家資安公司公布的資料存在差異。

ESET表示，這次攻擊手法與過去追蹤的俄羅斯駭客組織Sandworm手法高度相符，並揭露攻擊者使用的資料抹除惡意程式DynoWiper。Dragos則研判，具體攻擊執行者是與Sandworm高度關聯的組織ELECTRUM，並揭露這次事件是更精準針對波蘭境內的分散式能源（DER）設施攻擊，受害範圍涵蓋熱電共生（CHP）廠、風力發電場及光電場。

關於具體影響範圍，CERT Polska指出，遭受攻擊的波蘭企業與機構涵蓋：（一）超過30個風力與太陽能發電系統，（二）1座替近50萬用戶供應能源的熱電共生（CHP）發電廠，（三）1家製造公司。

調查結果顯示，駭客的目的就是破壞，由於這起事故正好發生在新年前夕，波蘭面臨低溫及暴風雪，假若駭客得逞，影響將會相當廣泛。

發現資料抹除惡意程式，包括DynoWiper、LazyWiper

攻擊者使用的資料抹除惡意程式共有兩種，包含ESET揭露的DynoWiper，還有以PowerShell打造的LazyWiper。

CERT Polska也進一步解析這場攻擊活動，說明駭客對三種類型設施有不同攻擊方式。

例如，在風力與太陽能光電等再生能源系統上，攻擊者主要鎖定電網連接點（GCP）攻擊，利用未啟用MFA或存在已知漏洞的FortiGate設備，作為初期入侵管道；惡意人士也鎖定變電站普遍使用日立RTU560控制器、Mikronika遠端終端單元（RTU）設備，利用預設帳號上傳惡意韌體，導致設備無限重啟或系統檔案遭刪除，造成永久損毀。

此外，所有電網連接點採用的MoxaNPort序列設備伺服器，亦成為目標，攻擊者透過預設密碼還原出廠設定，在變更密碼竄改IP位址以阻斷遠端存取，並部署DynoWiper破壞繼電器與人機介面（HMI）。

對於熱電共生（CHP）電廠的攻擊，攻擊者從2025年3月透過Tor節點隱匿行蹤，反覆利用VPN漏洞滲透網路，並在取得AD網域特權後嘗試透過GPO部署DynoWiper，所幸及時遭EDR系統攔截。文⊙周峻佑、羅正漢

波蘭電腦應急響應小組（CERT Polska）在1月30日，公布2025年12月29日波蘭電網遭大規模攻擊調查結果。此事件報告突顯3大問題點，我們整理如下：
（一）邊緣設備漏洞仍是首要目標，已終止支援設備帶來了嚴重的安全威脅。
（二）缺乏韌體驗證機制的OT設備，可能會遭受永久性的硬體損壞。
（三）攻擊者利用「預設憑證」作為跳板，進而滲透至人機介面（HMI）與遠端終端單元（RTU）；此類漏洞普遍存在，並不侷限於特定廠商。營運單位應立即更改預設密碼，並對系統整合商或OT供應商建立規範，要求未來必須強制執行密碼變更。