混合戰爭新常態：丹麥關鍵基礎設施與選舉系統遭遇國家級網路攻擊

隨著地緣政治局勢持續緊張，網路空間已成為現代戰爭的前哨站。丹麥政府近期公開指控俄羅斯是兩起針對其關鍵基礎設施與民主進程的「破壞性且干擾性」網路攻擊的幕後黑手。這不僅是一次單純的駭客行動，更被丹麥國防情報局（DDIS）定性為俄羅斯對西方發動「混合戰爭」（Hybrid Warfare）的明確證據，旨在報復丹麥對烏克蘭的堅定支持。

事件分析：OT 安全與民主選舉的雙重打擊

根據丹麥國防情報局的聲明，這波攻擊主要分為兩個戰線：針對民生關鍵設施的物理破壞嘗試，以及針對政治體系的資訊干擾。

1. 水利設施的 OT 滲透：科厄鎮（Køge）事件

在 2024 年底，親俄駭客組織 Z-Pentest 成功滲透了位於丹麥科厄鎮的一座水廠。這並非傳統的資料竊取，而是一場針對工業控制系統（ICS/SCADA）的攻擊。駭客獲取了水泵系統的控制權，並惡意篡改壓力設置，直接導致三處供水管道因超壓而破裂。雖然物理損害在可控範圍內，但這標誌著攻擊者已具備將網路攻擊轉化為現實物理破壞的能力。

2. 選舉前夕的 DDoS 浪潮

在 2025 年 11 月丹麥市政與地區議會選舉前夕，另一個與俄羅斯官方有聯繫的組織 NoName057(16) 發動了大規模的分散式阻斷服務（DDoS）攻擊。受影響的目標包括丹麥交通部、公共服務門戶 Borger.dk 以及軍事工業公司 Terma。攻擊者的核心目標並非摧毀網站，而是透過造成服務中斷來製造公眾不安，削弱民眾對政府運作與民主選舉過程的信心。(聯合早報、8world)

技術分析：混合戰爭的戰術組合

從資安架構的角度來看，這一系列事件展示了「混合威脅」的多樣性。除了網路端的滲透，丹麥與挪威的機場（哥本哈根與奧斯陸）在 2025 年 9 月也遭遇了不明無人機的入侵，導致空域關閉近四小時。丹麥警方與國防部認為，這些無人機操作者具備專業能力，其目的在於測試北約成員國的領空反應速度與基礎設施的韌性。(傑私聊jazztalk)

以下是本次事件中觀察到的攻擊特徵：

目標精準化： 攻擊者不再進行廣泛的漏洞掃描，而是針對具有象徵意義的公用事業（水廠）與政治節點（選舉網站）。
操作技術（OT）威脅： 透過 IT 網路轉向 OT 環境，利用不安全的遠端存取或弱密碼控制 PLC（可程式邏輯控制器）。
影響力作戰（IO）： 利用 DDoS 攻擊配合社群媒體宣傳，放大恐慌情緒。

IT 與資安主管的應對建議

丹麥國防大臣特羅爾斯·倫德·波爾森（Troels Lund Poulsen）直言：「如果有人認為我們在網路安全方面已經處於頂尖水平，那就未免過於天真。」這對於企業 IT 與資安主管來說是一個警訊。針對此類國家級威脅，建議採取以下防禦策略：

IT/OT 網路隔離（Air-Gapping）： 確保關鍵基礎設施的控制網路與商用辦公網路完全隔離，並對所有遠端連線實施多因素驗證（MFA）。
DDoS 防護強化： 針對公共服務網站，應部署具備自動清洗能力的雲端 DDoS 防護方案（如 Cloudflare 或 Akamai），以應對 NoName057 等組織的高頻率攻擊。
韌性與應急演練： 丹麥政府強調「韌性（Resilience）」，企業不應僅追求「不被入侵」，更應演練在系統遭受破壞（如水管破裂、網站癱瘓）時，如何在最短時間內恢復運作。
供應鏈安全： 針對如 Terma 等軍工企業的攻擊顯示，供應鏈上的小型承包商往往是攻擊者進入核心網路的跳板。

MITRE ATT&CK 對應

根據目前公佈的攻擊行為，可對應至以下 MITRE ATT&CK 技術：

T1078 – Valid Accounts： 獲取合法帳號以進入水廠控制系統。
T0831 – Manipulation of Control Logic： 篡改水泵壓力控制邏輯（針對 ICS）。
T1498 – Network Denial of Service： 針對政府網站發動 DDoS 攻擊。
T1583 – Acquire Infrastructure： 駭客組織利用殭屍網路與代理伺服器發動攻擊。

結論

丹麥的遭遇並非孤立事件，而是歐洲乃至全球關鍵基礎設施面臨威脅的縮影。當網路攻擊從「資料竊取」演變為「物理破壞」與「民主干擾」時，資安防護已不再只是 IT 部門的責任，而是國家安全與企業存續的核心。對於 IT 工程師與資安專家而言，理解混合戰爭的本質，並從 OT 安全與系統韌性著手，將是未來幾年最重要的技術課題。