爱沙尼亚电网疑遭俄黑客攻击，宣称造成电压下降与设备报警

【2025年11月4日监测发现】名为Perun Svaroga 的俄语黑客组织在其 Telegram频道上声称，与“俄罗斯IT军队”（IT Army of Russia）联合，对爱沙尼亚境内一处电力变电站控制系统实施了远程入侵。该组织发布了疑似来自电力监控界面（HMI）的截图和视频，声称攻击导致电压骤降及温度报警。视频片段显示高压线路闪光火花，而界面数据显示发电机状态异常，引发外界对其真实性及爱沙尼亚电网安全状况的关注。目前，爱沙尼亚官方尚未就此事件发布确认声明，安全专家则提醒该事件“具有一定的技术可行性”，但仍需进一步取证。

事件概述

攻击方发布的材料包括一段视频（据称显示高压线电弧）与两张HMI截图。截图中可读字段包括：Generator、AlarmList、Act power、Gen V L1-N、Gen curr L1、kWhours（10594209）、Run hours（12042 h）等，这些标签与电力自动化系统常见监控项一致。攻击者声明在“输入命令后”出现电压下降与温度告警，并展示所谓“正常运行快照”与“攻击成果”两种状态以证明控制能力。相关原帖链接已被攻击方公布（Telegram与某威胁情报研究者的X）。

现有证据的技术解读

第一张图：伪装正常的“运行快照”

表象：发电机显示为手动（MAN）并带载运行；功率、三相电压（约241–244 V）与频率（50 Hz）均处于正常范围；无报警提示，蓄电池电压显示正常（25.7 V）。

可能目的：该快照可能用于掩盖先期渗透，使运维在日常巡检中难以察觉异常；亦可能作为“示范”材料，向外界证明攻击者可以控制并随意切换显示状态。

取证关注点：需比对该时间点HMI显示与后端historian（历史记录）、PLC/RTU原始量测值及运维日志的一致性；若存在显示与真实测量不符，则表明可能存在UI注入、数据重放或中间人篡改。

第二张图：所谓攻击成果与破坏迹象

表象：发电机显示OFF/NotReady，发电侧功率、电流、频率归零；市电侧三相电压降至约187–188 V（明显欠压）；报警项出现蓄电池电压警告与多处气缸温度报警。

可能含义：该画面与强制停机、传感器反馈被篡改或上游供电严重异常一致；报警链条显示停机后设备出现连锁物理异常，可能加剧设备损伤风险。

取证关注点：需检查PLC/RTU写操作日志、保护继电器动作记录、继电保护速断/重合闸事件与现场物理检查结果（温度、损伤痕迹）。

可能的攻击路径与技术手段

初期渗透：通过钓鱼、第三方远程维护凭证被窃、公开服务漏洞或未更新的远程访问组件（如VPN、跳板主机）获得到达DMZ或ICS网络的初始访问。

横向渗透与特权提升：利用横向移动工具与被攻陷账户，获取对HMI/SCADA 的写权限或建立持久后门。

掩饰阶段：注入或替换前端显示（UI）或对历史数据进行重放，呈现“正常”运行界面以避免被发现（对应第一张图）。

破坏与外显阶段：在选定时间点下发强制停机、修改控制寄存器或篡改传感器值，触发停机与物理告警（对应第二张图）；随后公开证据以放大影响与舆论效果。

可能造成的后果与风险评估

直接后果：局部供电中断、发电机与辅助设备潜在机械或电气损伤（如励磁系统、轴承、冷却系统受损）。

连锁风险：在高负荷或并网关键时段，此类事件可能触发上游/下游保护动作，导致更大范围的电网不稳定或连锁停电。

长期影响：若攻击方已植入长期后门，存在重复触发或被用于更复杂破坏（如协调多站点同时操作）的风险；同时会削弱公众对关键基础设施韧性的信任。

证据的局限与真实性研判

支持真实性的要点：截图中监控项与标签格式专业、数值与常见 HMI 字段一致；发布者同时提供“正常”与“异常”两套画面，情节逻辑自洽。

质疑或不确定的要点：目前仅有攻击方单方面的社媒发布，缺乏爱沙尼亚电网运营方（例如 Elering）或国家级 CERT/能源监管机构的独立确认；视频中“电火花”画面可能为剪辑或非现场素材。

依据现有公开材料可以构建出一套合理的攻击假设链条 —— 即初期隐蔽渗透后实施破坏性操作的可能性存在，但无法凭公开截图与短视频独立确证事件已对电网造成实际物理损害或大范围供电中断。最终判断须依赖运营方提供的SCADA/PLC日志、网络流量抓包（pcap）、以及现场物证（硬件检查、时间序列比对）。

小结

目前的公开材料表明攻击方发布的图像具备一定专业性与“可操作性证明”的特征，但在未获得电网运营方与独立第三方技术核查前，不宜将攻击方的宣称当作已证实事实。对关键基础设施的安全事件，应以证据链验证为准并避免过早结论；同时，运营方需迅速启动取证与应急响应程序，向公众提供透明且可验证的通报，以遏制谣言与恐慌。

参考资源

1、https://t.me/perunswaroga/672

2、https://x.com/abdul__alamri/status/1985493425752305953

声明：本文来自网空闲话plus，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。