前言：地緣政治與能源轉型的資安交匯點

2026年伊始，全球資安威脅態勢依據地緣政治緊張局勢持續升溫。波蘭政府與多家資安研究機構於1月揭露了一起針對國家電力基礎設施的大規模網路攻擊。這起事故不僅是單純的資料竊取，更是一場旨在寒冬期間癱瘓關鍵基礎設施（CI）的破壞行動。隨著全球邁向能源轉型，駭客的目標已從傳統大型電廠轉向分散式能源資源（DER），這為 IT 與 OT 整合環境的資安防禦敲響了警鐘。(iThome)

事件概述：跨年期間的破壞性攻擊

2025年12月29日至30日，正值波蘭面臨暴風雪與極低溫的跨年期間，波蘭電網遭遇了近年來最大規模的網路滲透。波蘭總理 Donald Tusk 隨後於1月中旬證實，攻擊目標涵蓋兩座熱電共生（CHP）電廠，以及管理風力與太陽能設施的再生能源調度系統。雖然波蘭政府強調事件已及時阻斷，未造成大規模停電，但調查顯示駭客已深入 OT（操作技術）核心，意圖實施實體破壞。(iThome)

深度技術分析：攻擊路徑與惡意程式

根據波蘭電腦應急響應小組（CERT Polska）與資安公司 ESET、Dragos 的調查，這起攻擊展現了高度的專業性與對工控協議的熟悉度。攻擊者主要鎖定「電網連接點」（Grid Connection Point, GCP），並透過以下技術手段進行滲透：

邊界設備漏洞： 駭客利用未啟用多因素驗證（MFA）的 FortiGate VPN 防火牆作為進入點，部分設備甚至存在已知的未修補漏洞。(CERT Polska)
身分偽裝與隱匿： 攻擊者透過 Tor 節點隱匿原始 IP，並在成功滲透後，於內部網路利用 VPN 漏洞反覆橫向移動，甚至入侵 AD 網域取得高權限。(iThome)
硬體破壞（Bricking）： 駭客鎖定日立（Hitachi）RTU560 與 Mikronika 等遠端終端單元（RTU）。利用預設帳號或弱點上傳惡意韌體，導致設備陷入無限重啟循環，或直接刪除系統檔案，造成硬體永久損毀無法遠端修復。(Dragos)

在惡意軟體方面，調查人員發現了兩種新型資料抹除程式（Wiper）：

DynoWiper： 由 ESET 發現，專門用於抹除關鍵系統資料，其特徵與俄羅斯駭客組織 Sandworm 過往使用的手法高度重疊。(ESET)
LazyWiper： 由 CERT Polska 揭露，這是一款基於 PowerShell 撰寫的破壞工具，顯示駭客具備多樣化的工具集組合。(CERT Polska)

威脅組織溯源：俄羅斯政府資助的背景

雖然不同資安機構對具體組織的命名有所差異，但一致指向俄羅斯政府資助的背景。ESET 認為是惡名昭彰的 Sandworm（曾於2015、2016年癱瘓烏克蘭電網）；Dragos 則指向相關組織 Electrum；而 CERT Polska 則認定為 Dragonfly（亦稱為 Static Tundra 或 Ghost Blizzard）。(iThome, Dragos) 這些組織的共同特點是具備深厚的工控系統（ICS）專業知識，能針對特定的 PLC 或 RTU 開發客製化攻擊載體。