波兰计算机紧急响应小组CERT Polska披露,协同网络攻击针对了30多个风电和光伏发电场、一家制造业私营公司,以及一座为该国近50万客户供热的大型热电联产厂。
攻击发生在2025年12月29日。该机构将这些攻击归因于一个名为Static Tundra的威胁集群,该集群也被追踪为Berserk Bear、Blue Kraken、Crouching Yeti、Dragonfly、Energetic Bear、Ghost Blizzard(前身为Bromine)和Havex。据评估,Static Tundra与俄罗斯联邦安全局第16中心部门有关联。
值得注意的是,ESET和Dragos最近的报告以中等置信度将这一活动归因于另一个名为Sandworm的俄罗斯国家支持的黑客组织。
CERT Polska在周五发布的报告中表示:"所有攻击都具有纯粹的破坏性目标。尽管针对可再生能源发电场的攻击破坏了这些设施与配电系统运营商之间的通信,但并未影响正在进行的电力生产。同样,针对热电联产厂的攻击也未能实现攻击者预期的破坏终端用户热力供应的效果。"
据称,攻击者获得了与可再生能源设施相关的电力变电站内部网络的访问权限,以进行侦察和破坏活动,包括损坏控制器固件、删除系统文件,或启动被ESET代号为DynoWiper的定制擦除恶意软件。
在针对热电联产厂的入侵中,攻击者进行了可追溯到2025年3月的长期数据窃取,使他们能够提升权限并在网络中横向移动。CERT Polska指出,攻击者引爆擦除恶意软件的尝试并未成功。
另一方面,针对制造业公司的攻击被认为是机会主义的,威胁行为者通过易受攻击的Fortinet边界设备获得初始访问权限。针对电网连接点的攻击也可能涉及对易受攻击的FortiGate设备的利用。
迄今为止已发现至少四个不同版本的DynoWiper。这些变体被部署在能源设施使用的Mikronika HMI计算机上,以及在通过FortiGate设备的SSL-VPN门户服务获得访问权限后的热电联产厂网络共享中。
CERT Polska在详细描述针对热电联产厂的攻击者作案手法时表示:"攻击者使用在设备配置中静态定义且未启用双因素身份验证的多个账户获得基础设施访问权限。攻击者使用Tor节点以及波兰和国外IP地址进行连接,这些地址通常与被入侵的基础设施相关联。"
擦除器的功能相当简单:初始化涉及为名为Mersenne Twister的伪随机数生成器播种;枚举文件并使用伪随机数生成器损坏它们;删除文件。
值得一提的是,该恶意软件没有持久性机制、与命令控制服务器通信的方式或执行shell命令的能力,也不会尝试向安全程序隐藏其活动。
CERT Polska表示,针对制造业公司的攻击涉及使用基于PowerShell的擦除器LazyWiper,该脚本用伪随机32字节序列覆写系统文件,使其无法恢复。怀疑核心擦除功能是使用大语言模型开发的。
CERT Polska指出:"涉及可再生能源发电场的事件中使用的恶意软件直接在HMI机器上执行。相比之下,在热电联产厂(DynoWiper)和制造业公司(LazyWiper)中,恶意软件通过在域控制器上执行的PowerShell脚本在Active Directory域内分发。"
该机构还描述了DynoWiper与Sandworm构建的其他擦除器之间一些代码级相似性为"一般性"的,并未提供关于威胁行为者是否参与攻击的任何具体证据。
CERT Polska表示:"攻击者使用从本地环境获得的凭据尝试访问云服务。在识别出在M365服务中存在相应账户的凭据后,攻击者从Exchange、Teams和SharePoint等服务下载了选定数据。"
"攻击者对与OT网络现代化、SCADA系统以及组织内进行的技术工作相关的文件和电子邮件消息特别感兴趣。"
Q&A
Q1:什么是DynoWiper恶意软件?它是如何工作的?
A:DynoWiper是一种定制擦除恶意软件,由ESET命名。其功能相对简单:首先初始化伪随机数生成器Mersenne Twister,然后枚举文件并使用该生成器损坏文件,最后删除文件。该恶意软件没有持久性机制,不与命令控制服务器通信,也不会隐藏其活动。
Q2:这次网络攻击对电力供应造成了什么影响?
A:尽管攻击破坏了可再生能源发电场与配电系统运营商之间的通信,但并未影响正在进行的电力生产。针对热电联产厂的攻击也未能实现破坏终端用户热力供应的预期效果。所有攻击都具有纯粹的破坏性目标,但实际破坏效果有限。
Q3:攻击者是通过什么方式获得系统访问权限的?
A:攻击者主要通过易受攻击的Fortinet边界设备和FortiGate设备获得初始访问权限。他们使用了在设备配置中静态定义且未启用双因素身份验证的多个账户,并通过Tor节点以及波兰和国外IP地址进行连接,这些地址通常与被入侵的基础设施相关联。
