2025年1 月 13 日,波兰能源部长称,波兰电力系统在 12 月最后一周遭遇了多年来最大规模的网络攻击,而且这次攻击的模式也与以往不同,并表示此次攻击目的是破坏可再生能源装置与电力分配运营商之间的通信,过去大型发电装置或输电网络也曾是攻击目标。
波兰网络空间部队指挥部诊断出,在2025年最后几天,能源基础设施遭受了多年来最严重的攻击。
自 2022 年 2 月乌克兰战争爆发以来,波兰的关键基础设施遭受了俄罗斯日益增多的网络攻击。
俄罗斯数字事务部长称,去年俄罗斯军事情报部门将用于对波兰采取此类行动的资源增加了两倍。
热知识:由于加里宁格勒,俄罗斯和波兰实际上是接壤
在 2025 年前三个季度发现的 17 万起网络安全事件中,很大一部分被归咎于俄罗斯黑客组织。
ESET研究人员现已发现,此次袭击是由臭名昭著、与俄罗斯APT组织沙虫(Sandworm)所为。
ESET研究人员表示:“基于对恶意软件及相关TTP的分析,我们中等信心地将此次攻击归因于与俄罗斯结盟的Sandworm APT,因为其与我们分析的多次Sandworm擦除活动高度重叠。”“我们目前没有发现此次袭击导致任何成功的干扰,”他们补充道。
比较有趣的是,沙虫组织在2015年12月针对乌克兰的一次电力攻击,在一年中最寒冷的月份之一,这次攻击导致约23万人断电约6小时。
黑客使用名为BlackEnergy的通用恶意软件入侵电力公司的监控和数据采集系统(SCADA),并激活合法功能以停止电力输送。
这是已知的首例由恶意软件引发的停电事件。ESET表示,此次针对波兰的网络攻击发生在该事件十周年纪念日当天。这家安全公司除了透露所使用的恶意软件名为DynoWiper之外,并未提供关于此次攻击的其他细节。
十年后,Sandworm继续针对多个关键基础设施领域的实体,尤其是在乌克兰。在他们最新的APT活动报告(涵盖2025年4月至9月)中,ESET研究人员指出,他们发现沙虫在乌克兰定期对目标进行擦除器攻击。
Wiper(计算机擦除器hash)
4EC3C90846AF6B79EE1A5188EEFA3FD21F6D4CF6
其他关于沙虫擦除器武器的信息:
https://www.welivesecurity.com/2023/02/24/year-wiper-attacks-ukraine/
Wiper(擦除器)是一种特殊的恶意软件(malware),其主要目的是永久擦除或破坏计算机硬盘、存储设备上的数据和文件,使数据无法恢复。
不同于常见的勒索软件(ransomware),Wiper 不以加密数据并索要赎金为目的,而是纯粹为了破坏、瘫痪系统或销毁证据,常被用于网络战、间谍活动或破坏性攻击。
Wiper 通过覆盖(overwrite)文件、破坏文件系统(如NTFS的主引导记录MBR)、直接访问磁盘驱动器等方式,将数据彻底抹除。
有些变种会使用合法驱动程序(如RawDisk)来绕过系统保护,直接操作硬盘。
破坏方式可能逐步删除文件(如每小时删除一定数量)、在重启后触发全盘擦除,或在指定时间后彻底销毁数据。感染后,系统往往无法正常启动,数据永久丢失。
历史背景与著名事例Wiper 恶意软件至少从2012年起出现,常与地缘政治冲突相关:
2012年伊朗攻击:最早的Wiper针对伊朗石油公司,擦除硬盘数据(与Flame恶意软件相关)。
Shamoon(2012及2016):针对沙特阿美石油公司,擦除数据并用象征性图片(如燃烧的美国国旗)覆盖文件。
2013韩国及2014索尼图片攻击:朝鲜关联的Lazarus集团使用Wiper组件,破坏媒体和金融机构数据。
NotPetya(2017):伪装成勒索软件,实际为Wiper,感染全球系统(包括乌克兰),造成巨大损失。
2022乌克兰网络攻击:俄罗斯入侵乌克兰期间,多款Wiper爆发,如HermeticWiper、CaddyWiper、IsaacWiper、FoxBlade等,至少9种变种针对政府、基础设施和企业。
2025年:继续出现新变种,如PathWiper(针对乌克兰),以及针对波兰能源电网的攻击。
声明:本文来自黑鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
