此篇文章以波蘭去年底電力系統遭到大規模網攻為主軸,帶讀者回到「新年前夕、低溫暴風雪」的高風險情境:波蘭政府早先指出駭客意圖干擾再生能源設施與配電營運商之間的通訊,雖未得逞,但事件本身已揭露關鍵基礎設施在資安與營運交界處的脆弱。文章特別強調受害範圍並不只是一兩個點,而是「一天內超過30家風力與太陽能發電設施」同時遭殃,另有近50萬用戶規模的熱電共生發電廠與一家製造業者被波及,讓整起事件從單點入侵升級為跨產業、跨環境的系統性破壞企圖,也為後續調查的技術細節鋪陳出「若成功將造成廣泛衝擊」的張力。
此篇文章的核心亮點,在於CERT Polska公開的鑑識內容,如何把「攻擊想做什麼」與「實際造成什麼」拆開來看。報告指出駭客同時影響資訊系統與工控環境的實體設備,但在再生能源部分,結果主要呈現為發電設施與配電系統營運商的通訊中斷,電力生產未受影響;熱電共生電廠也未造成終端用戶供應中斷。更值得注意的是,文章點出與ESET、Dragos先前說法的差異:引述CERT Polska認定攻擊者更接近俄羅斯駭客Dragonfly(亦即Dragonfly、Static Tundra、Berserk Bear、Ghost Blizzard等別名脈絡),並補充多一名製造業受害者;在破壞工具上,除了外界提到的DynoWiper,還多了以PowerShell打造的LazyWiper。這些差異讓讀者理解到,事件定性不只是「誰做的」,也牽動防禦方該如何對應不同工具鏈與入侵手法。
本文進一步把三類場域的下手方式講得很細,讓讀者能具體想像駭客如何從IT一路摸到OT。對風力與太陽能等再生能源系統,駭客聚焦在電網連接點(GCP),以FortiGate提供的VPN作為入口,問題關鍵是「未啟用多因素驗證」加上「部分設備存在已知弱點」。進入變電站後,攻擊圍繞RTU與周邊裝置展開:日立RTU560特定韌體版本、Mikronika設備被利用預設帳號上傳問題韌體,導致不斷重開或刪除系統檔;日立保護繼電器與Mikronika HMI也因預設帳密或弱密碼遭破壞並部署DynoWiper;所有GCP採用的Moxa NPort 6xxx因網頁介面開啟且預設帳密未改,被還原出廠、改密碼、甚至把IP竄成127.0.0.1,直接讓維運人員也進不去。熱電共生電廠則呈現長期滲透:活動可回溯至2025年3月,從偵察、存取資料、挖憑證到取得AD網域特權並橫向移動,最後企圖用群組原則物件(GPO)下發DynoWiper但被EDR攔截;期間反覆碰觸邊界VPN入口,並用Tor節點掩護。製造業案例則是利用Fortinet已知弱點取得初期存取、竄改FortiGate組態以維持長期駐留,並試圖以GPO部署LazyWiper,同時伸手到M365存取Exchange、SharePoint與Teams下載資料。文章最後也點出,攻擊牽涉多家設備品牌,但截稿前廠商尚未回應,留下一個關於供應鏈責任與使用者端配置治理的追問。
