「亲俄组织曾经只搞拒绝服务攻击,现在正试图对欧洲机构发动破坏性网络攻击。」——瑞典民防部长卡尔-奥斯卡·博林(Carl-Oskar Bohlin)周三的这句话,标志着网络战的一个关键转向。
瑞典政府披露,2025年初,与俄罗斯情报机构有关联的黑客试图攻击该国一座热电厂。攻击被内置防护机制拦截,未造成实际损害。但博林口中的「风险更高、更鲁莽的行为」,指向一个被低估的趋势:网络攻击正从「干扰」走向「物理破坏」。
这不是孤例。2025年12月,波兰电网部分系统遭类似攻击;同年早些时候,挪威一座水坝被短暂劫持,黑客打开闸门导致数百万加仑水泄出;2024年1月,乌克兰利沃夫市能源公司被黑,数百户公寓在严寒中停暖两天。
关键基础设施为何突然成为靶心?攻击者的能力升级背后,是技术门槛降低,还是战略意图转变?这场辩论正在网络安全圈激烈展开。
正方观点:这是国家行为体的「混合战争」升级
支持「国家主导论」的分析者指出,攻击模式呈现明显的战略协同特征。
时间线高度敏感。瑞典事件发生在2025年初,正值北约东翼安全态势紧张期。波兰、挪威、乌克兰的袭击同样集中在地缘政治关键节点。攻击目标的选择——电网、水坝、供暖系统——直指民生命脉,符合「通过制造社会混乱削弱对手意志」的经典混合战争逻辑。
技术溯源也指向国家机器。博林明确将瑞典事件归因于「与俄罗斯情报和安全机构有关联」的黑客。挪威水坝事件中,攻击者展现了对工业控制系统(ICS)的深入理解,这种能力通常需要长期情报积累和专用工具开发,远超普通网络犯罪团伙的资源水平。
更关键的是攻击意图的转变。2015年乌克兰电网遭黑事件后,俄罗斯被观察到在关键基础设施领域持续「预置」——即长期潜伏于目标系统,等待激活时机。如今从「潜伏」到「动手」,暗示战略计算的变化:网络工具从威慑筹码变为实际打击手段。
这一派认为,瑞典电厂攻击未遂恰恰说明风险被低估。内置防护机制拦截成功是侥幸,而非必然。随着俄乌冲突持续,类似试探将更频繁,直至找到防御缺口。
反方观点:过度归因国家行为,忽视犯罪生态的演化
另一派声音警告,将一切归咎于「俄罗斯黑客」可能遮蔽更复杂的现实。
乌克兰利沃夫事件即为典型案例。研究人员承认「部分证据指向俄罗斯操作者」,但明确标注「无法确认归因」。这种模糊性在网络安全领域极为常见——攻击者常用虚假旗帜、代理服务器和被盗凭证掩盖身份,国家与犯罪集团的界限日益模糊。
技术门槛的降低是另一变量。工业控制系统的漏洞利用工具近年流入地下市场,勒索软件团伙如DarkSide、REvil都曾展示过对运营技术(OT)环境的攻击能力。2021年Colonial Pipeline事件证明,以牟利为目标的犯罪组织同样能造成大规模物理中断。
攻击效果的「破坏性」也可能被夸大。挪威水坝事件中,黑客虽打开闸门,但系统很快被夺回控制权;瑞典攻击则被防护机制直接拦截。这些「失败」案例是否真如官方所言证明「鲁莽」,还是恰恰说明攻击者仍在试探边界、积累经验?
这一派主张,将事件框架为「国家战争」可能触发不必要的对抗升级。更务实的应对是强化基础设施韧性,而非陷入归因政治。
我的判断:技术民主化与战略意图的交汇点
两派观点各有盲区。国家行为体与犯罪组织的二分法本身正在失效——俄罗斯情报机构长期利用「网络民兵」作为代理,既扩大攻击面,又保留 plausible deniability(合理推诿空间)。瑞典事件中博林的措辞「有关联」而非「直接指挥」,正是这种模糊性的体现。
真正值得关注的信号是攻击目标的「物理性」转向。拒绝服务攻击(DDoS)只影响服务可用性,而针对SCADA系统(数据采集与监视控制系统)的入侵直接威胁设备安全。这种跃迁需要特定知识,但并非不可获取:乌克兰电网2015年遭攻击后,相关技术细节已被安全社区广泛研究。
博林所说的「内置防护机制」拦截成功,揭示了防御端的结构性优势。关键基础设施的工业控制系统通常与互联网物理隔离,攻击路径受限。但这也意味着,每一次「未遂」攻击都是攻击者绘制防御地图的机会——哪些供应商的固件有漏洞?哪些远程维护接口被忽视?
波兰、挪威、瑞典、乌克兰的事件时间线(2024-2025年)显示,攻击频率在上升,地理范围在扩大。无论归因于国家意志还是犯罪生态,结果对防御者而言是同一道题:关键基础设施的安全模型假设「外部威胁可控」,这一假设是否仍然成立?
瑞典选择公开披露而非沉默处理,本身是一种策略转变。2015年乌克兰事件后,西方政府长期对基础设施攻击保持低调,避免暴露防御弱点或激化局势。博林的新闻发布会打破这一惯例,暗示威胁评估已越过某个阈值——继续低调的成本高于公开。
这种计算背后,是能源系统数字化带来的新脆弱性。热电厂、水坝、电网的智能化改造提升了效率,也将传统工业设备暴露于网络攻击面。防护机制的有效性取决于持续更新,而运营技术环境的补丁周期通常以月甚至年计,与信息技术环境的敏捷响应形成落差。
俄罗斯政府未回应TechCrunch的置评请求,这一沉默在信息战中同样是一种信号。既不承认也不否认,保持战略模糊,使对手难以确定红线位置。
对科技从业者而言,这一事件的启示在于:网络安全正在从「数据保护」扩展到「物理安全」的交叉地带。工业控制系统的安全架构设计、供应链风险评估、事件响应流程,都需要重新校准假设。瑞典电厂的「内置防护机制」具体是什么?博林未透露细节,但这正是值得追问的技术问题——是网络分段、异常行为检测,还是硬件层面的安全启动?
攻击者的「鲁莽」或许正是防御者的机会窗口。每一次未遂攻击都留下痕迹,而这些痕迹是改进防御的素材。问题在于,基础设施运营者是否有动力和能力持续投入——安全成本与运营效率的张力,在利润驱动的能源行业尤为尖锐。
当网络攻击的意图从「窃取数据」转向「制造破坏」,技术防御的优先级排序必然变化。备份和加密不足以应对SCADA系统的物理操控威胁,需要假设入侵已发生、聚焦于遏制扩散和快速恢复的设计。
瑞典事件未遂,但攻击者已经证明其能力和意图。下一次,内置防护机制是否仍能拦截?如果攻击者已经通过供应链预置了更深层的访问权限,当前的检测手段能否发现?
这些不是理论问题。挪威水坝的闸门曾被打开,利沃夫的居民曾在严寒中停暖。网络与物理世界的边界正在坍塌,而坍塌的速度,似乎快于防御体系的适应速度。
热门跟贴