「親俄組織曾經(jīng)只搞拒絕服務(wù)攻擊，現(xiàn)在正試圖對(duì)歐洲機(jī)構(gòu)發(fā)動(dòng)破壞性網(wǎng)絡(luò)攻擊?！埂鸬涿穹啦块L(zhǎng)卡爾-奧斯卡·博林（Carl-Oskar Bohlin）周三的這句話，標(biāo)志著網(wǎng)絡(luò)戰(zhàn)的一個(gè)關(guān)鍵轉(zhuǎn)向。

瑞典政府披露，2025年初，與俄羅斯情報(bào)機(jī)構(gòu)有關(guān)聯(lián)的黑客試圖攻擊該國(guó)一座熱電廠。攻擊被內(nèi)置防護(hù)機(jī)制攔截，未造成實(shí)際損害。但博林口中的「風(fēng)險(xiǎn)更高、更魯莽的行為」，指向一個(gè)被低估的趨勢(shì)：網(wǎng)絡(luò)攻擊正從「干擾」走向「物理破壞」。

這不是孤例。2025年12月，波蘭電網(wǎng)部分系統(tǒng)遭類似攻擊；同年早些時(shí)候，挪威一座水壩被短暫劫持，黑客打開閘門導(dǎo)致數(shù)百萬(wàn)加侖水泄出；2024年1月，烏克蘭利沃夫市能源公司被黑，數(shù)百戶公寓在嚴(yán)寒中停暖兩天。

關(guān)鍵基礎(chǔ)設(shè)施為何突然成為靶心？攻擊者的能力升級(jí)背后，是技術(shù)門檻降低，還是戰(zhàn)略意圖轉(zhuǎn)變？這場(chǎng)辯論正在網(wǎng)絡(luò)安全圈激烈展開。

正方觀點(diǎn)：這是國(guó)家行為體的「混合戰(zhàn)爭(zhēng)」升級(jí)

支持「國(guó)家主導(dǎo)論」的分析者指出，攻擊模式呈現(xiàn)明顯的戰(zhàn)略協(xié)同特征。

時(shí)間線高度敏感。瑞典事件發(fā)生在2025年初，正值北約東翼安全態(tài)勢(shì)緊張期。波蘭、挪威、烏克蘭的襲擊同樣集中在地緣政治關(guān)鍵節(jié)點(diǎn)。攻擊目標(biāo)的選擇——電網(wǎng)、水壩、供暖系統(tǒng)——直指民生命脈，符合「通過(guò)制造社會(huì)混亂削弱對(duì)手意志」的經(jīng)典混合戰(zhàn)爭(zhēng)邏輯。

技術(shù)溯源也指向國(guó)家機(jī)器。博林明確將瑞典事件歸因于「與俄羅斯情報(bào)和安全機(jī)構(gòu)有關(guān)聯(lián)」的黑客。挪威水壩事件中，攻擊者展現(xiàn)了對(duì)工業(yè)控制系統(tǒng)（ICS）的深入理解，這種能力通常需要長(zhǎng)期情報(bào)積累和專用工具開發(fā)，遠(yuǎn)超普通網(wǎng)絡(luò)犯罪團(tuán)伙的資源水平。

更關(guān)鍵的是攻擊意圖的轉(zhuǎn)變。2015年烏克蘭電網(wǎng)遭黑事件后，俄羅斯被觀察到在關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域持續(xù)「預(yù)置」——即長(zhǎng)期潛伏于目標(biāo)系統(tǒng)，等待激活時(shí)機(jī)。如今從「潛伏」到「動(dòng)手」，暗示戰(zhàn)略計(jì)算的變化：網(wǎng)絡(luò)工具從威懾籌碼變?yōu)閷?shí)際打擊手段。

這一派認(rèn)為，瑞典電廠攻擊未遂恰恰說(shuō)明風(fēng)險(xiǎn)被低估。內(nèi)置防護(hù)機(jī)制攔截成功是僥幸，而非必然。隨著俄烏沖突持續(xù)，類似試探將更頻繁，直至找到防御缺口。

反方觀點(diǎn)：過(guò)度歸因國(guó)家行為，忽視犯罪生態(tài)的演化

另一派聲音警告，將一切歸咎于「俄羅斯黑客」可能遮蔽更復(fù)雜的現(xiàn)實(shí)。

烏克蘭利沃夫事件即為典型案例。研究人員承認(rèn)「部分證據(jù)指向俄羅斯操作者」，但明確標(biāo)注「無(wú)法確認(rèn)歸因」。這種模糊性在網(wǎng)絡(luò)安全領(lǐng)域極為常見——攻擊者常用虛假旗幟、代理服務(wù)器和被盜憑證掩蓋身份，國(guó)家與犯罪集團(tuán)的界限日益模糊。

技術(shù)門檻的降低是另一變量。工業(yè)控制系統(tǒng)的漏洞利用工具近年流入地下市場(chǎng)，勒索軟件團(tuán)伙如DarkSide、REvil都曾展示過(guò)對(duì)運(yùn)營(yíng)技術(shù)（OT）環(huán)境的攻擊能力。2021年Colonial Pipeline事件證明，以牟利為目標(biāo)的犯罪組織同樣能造成大規(guī)模物理中斷。

攻擊效果的「破壞性」也可能被夸大。挪威水壩事件中，黑客雖打開閘門，但系統(tǒng)很快被奪回控制權(quán)；瑞典攻擊則被防護(hù)機(jī)制直接攔截。這些「失敗」案例是否真如官方所言證明「魯莽」，還是恰恰說(shuō)明攻擊者仍在試探邊界、積累經(jīng)驗(yàn)？

這一派主張，將事件框架為「國(guó)家戰(zhàn)爭(zhēng)」可能觸發(fā)不必要的對(duì)抗升級(jí)。更務(wù)實(shí)的應(yīng)對(duì)是強(qiáng)化基礎(chǔ)設(shè)施韌性，而非陷入歸因政治。

我的判斷：技術(shù)民主化與戰(zhàn)略意圖的交匯點(diǎn)

兩派觀點(diǎn)各有盲區(qū)。國(guó)家行為體與犯罪組織的二分法本身正在失效——俄羅斯情報(bào)機(jī)構(gòu)長(zhǎng)期利用「網(wǎng)絡(luò)民兵」作為代理，既擴(kuò)大攻擊面，又保留 plausible deniability（合理推諉空間）。瑞典事件中博林的措辭「有關(guān)聯(lián)」而非「直接指揮」，正是這種模糊性的體現(xiàn)。

真正值得關(guān)注的信號(hào)是攻擊目標(biāo)的「物理性」轉(zhuǎn)向。拒絕服務(wù)攻擊（DDoS）只影響服務(wù)可用性，而針對(duì)SCADA系統(tǒng)（數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)）的入侵直接威脅設(shè)備安全。這種躍遷需要特定知識(shí)，但并非不可獲?。簽蹩颂m電網(wǎng)2015年遭攻擊后，相關(guān)技術(shù)細(xì)節(jié)已被安全社區(qū)廣泛研究。

博林所說(shuō)的「內(nèi)置防護(hù)機(jī)制」攔截成功，揭示了防御端的結(jié)構(gòu)性優(yōu)勢(shì)。關(guān)鍵基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)通常與互聯(lián)網(wǎng)物理隔離，攻擊路徑受限。但這也意味著，每一次「未遂」攻擊都是攻擊者繪制防御地圖的機(jī)會(huì)——哪些供應(yīng)商的固件有漏洞？哪些遠(yuǎn)程維護(hù)接口被忽視？

波蘭、挪威、瑞典、烏克蘭的事件時(shí)間線（2024-2025年）顯示，攻擊頻率在上升，地理范圍在擴(kuò)大。無(wú)論歸因于國(guó)家意志還是犯罪生態(tài)，結(jié)果對(duì)防御者而言是同一道題：關(guān)鍵基礎(chǔ)設(shè)施的安全模型假設(shè)「外部威脅可控」，這一假設(shè)是否仍然成立？

瑞典選擇公開披露而非沉默處理，本身是一種策略轉(zhuǎn)變。2015年烏克蘭事件后，西方政府長(zhǎng)期對(duì)基礎(chǔ)設(shè)施攻擊保持低調(diào)，避免暴露防御弱點(diǎn)或激化局勢(shì)。博林的新聞發(fā)布會(huì)打破這一慣例，暗示威脅評(píng)估已越過(guò)某個(gè)閾值——繼續(xù)低調(diào)的成本高于公開。

這種計(jì)算背后，是能源系統(tǒng)數(shù)字化帶來(lái)的新脆弱性。熱電廠、水壩、電網(wǎng)的智能化改造提升了效率，也將傳統(tǒng)工業(yè)設(shè)備暴露于網(wǎng)絡(luò)攻擊面。防護(hù)機(jī)制的有效性取決于持續(xù)更新，而運(yùn)營(yíng)技術(shù)環(huán)境的補(bǔ)丁周期通常以月甚至年計(jì)，與信息技術(shù)環(huán)境的敏捷響應(yīng)形成落差。

俄羅斯政府未回應(yīng)TechCrunch的置評(píng)請(qǐng)求，這一沉默在信息戰(zhàn)中同樣是一種信號(hào)。既不承認(rèn)也不否認(rèn)，保持戰(zhàn)略模糊，使對(duì)手難以確定紅線位置。

對(duì)科技從業(yè)者而言，這一事件的啟示在于：網(wǎng)絡(luò)安全正在從「數(shù)據(jù)保護(hù)」擴(kuò)展到「物理安全」的交叉地帶。工業(yè)控制系統(tǒng)的安全架構(gòu)設(shè)計(jì)、供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估、事件響應(yīng)流程，都需要重新校準(zhǔn)假設(shè)。瑞典電廠的「內(nèi)置防護(hù)機(jī)制」具體是什么？博林未透露細(xì)節(jié)，但這正是值得追問的技術(shù)問題——是網(wǎng)絡(luò)分段、異常行為檢測(cè)，還是硬件層面的安全啟動(dòng)？

攻擊者的「魯莽」或許正是防御者的機(jī)會(huì)窗口。每一次未遂攻擊都留下痕跡，而這些痕跡是改進(jìn)防御的素材。問題在于，基礎(chǔ)設(shè)施運(yùn)營(yíng)者是否有動(dòng)力和能力持續(xù)投入——安全成本與運(yùn)營(yíng)效率的張力，在利潤(rùn)驅(qū)動(dòng)的能源行業(yè)尤為尖銳。

當(dāng)網(wǎng)絡(luò)攻擊的意圖從「竊取數(shù)據(jù)」轉(zhuǎn)向「制造破壞」，技術(shù)防御的優(yōu)先級(jí)排序必然變化。備份和加密不足以應(yīng)對(duì)SCADA系統(tǒng)的物理操控威脅，需要假設(shè)入侵已發(fā)生、聚焦于遏制擴(kuò)散和快速恢復(fù)的設(shè)計(jì)。

瑞典事件未遂，但攻擊者已經(jīng)證明其能力和意圖。下一次，內(nèi)置防護(hù)機(jī)制是否仍能攔截？如果攻擊者已經(jīng)通過(guò)供應(yīng)鏈預(yù)置了更深層的訪問權(quán)限，當(dāng)前的檢測(cè)手段能否發(fā)現(xiàn)？

這些不是理論問題。挪威水壩的閘門曾被打開，利沃夫的居民曾在嚴(yán)寒中停暖。網(wǎng)絡(luò)與物理世界的邊界正在坍塌，而坍塌的速度，似乎快于防御體系的適應(yīng)速度。