瑞典一座熱電廠差點(diǎn)在3月被黑客搞癱瘓，攻擊者據(jù)信是俄羅斯情報(bào)部門(mén)支持的組織。這不是普通的網(wǎng)絡(luò)騷擾——瑞典政府明確說(shuō)，對(duì)方想要的是"毀滅性破壞"。

更麻煩的是，這類(lèi)攻擊正在變多、變狠、變莽。從干擾網(wǎng)站到試圖炸毀電網(wǎng)，俄羅斯黑客的升級(jí)速度比很多人預(yù)想的快得多。

從"搗亂"到"炸廠"：攻擊性質(zhì)變了

瑞典民防大臣卡爾-奧斯卡·博林在記者會(huì)上說(shuō)得很直白：「親俄組織以前搞的是拒絕服務(wù)攻擊，現(xiàn)在試圖對(duì)歐洲組織實(shí)施毀滅性網(wǎng)絡(luò)攻擊�！�

拒絕服務(wù)攻擊（Distributed Denial of Service，分布式拒絕服務(wù)攻擊）是什么？簡(jiǎn)單說(shuō)就是往服務(wù)器灌垃圾流量，讓網(wǎng)站打不開(kāi)。煩人，但不致命。

這次對(duì)熱電廠的攻擊完全不同。目標(biāo)不是讓你網(wǎng)頁(yè)加載慢，是讓機(jī)器停轉(zhuǎn)、設(shè)備損壞、電網(wǎng)崩潰。用博林的話說(shuō)，這叫"riskier and more reckless behavior"——更冒險(xiǎn)、更魯莽的行為。

關(guān)鍵細(xì)節(jié)：瑞典政府沒(méi)公布被攻擊電廠的名字，但確認(rèn)攻擊被"內(nèi)置保護(hù)機(jī)制"攔下了。也就是說(shuō)，如果沒(méi)這層防護(hù)，后果可能很?chē)?yán)重。

這不是俄羅斯第一次被指控攻擊歐洲關(guān)鍵基礎(chǔ)設(shè)施。2022年2月俄烏戰(zhàn)爭(zhēng)爆發(fā)以來(lái)，這類(lèi)攻擊頻率明顯上升。但"頻繁"和"毀滅性"是兩碼事——現(xiàn)在的趨勢(shì)是后者。

攻擊者是誰(shuí)：GRU的影子

瑞典政府的指控指向很明確："與俄羅斯情報(bào)和安全部門(mén)有關(guān)聯(lián)"。

具體來(lái)說(shuō)，俄羅斯武裝力量總參謀部情報(bào)總局（GRU）是這類(lèi)行動(dòng)的�？�。2022年1月——也就是俄烏戰(zhàn)爭(zhēng)爆發(fā)前一個(gè)月——GRU成員就發(fā)動(dòng)過(guò)大規(guī)模攻擊，目標(biāo)包括政府部門(mén)。

GRU的網(wǎng)絡(luò)行動(dòng)有個(gè)特點(diǎn)：膽子大、手段糙、不認(rèn)賬。和 civilian 黑客不同，他們有國(guó)家資源支持，可以長(zhǎng)期潛伏、深度滲透，一旦動(dòng)手就不只是偷數(shù)據(jù)，而是搞破壞。

這次熱電廠攻擊的"魯莽"風(fēng)格很GRU：直接對(duì)工業(yè)控制系統(tǒng)下手，不在乎被溯源，似乎更在乎制造恐慌和實(shí)際損害。

一個(gè)值得玩味的細(xì)節(jié)：攻擊被"內(nèi)置保護(hù)機(jī)制"阻止。這說(shuō)明電廠的網(wǎng)絡(luò)安全不是事后打補(bǔ)丁，而是有縱深防御。但換個(gè)角度想——如果連瑞典的電廠都需要靠"最后一道防線"來(lái)保命，防御方的壓力可想而知。

為什么是現(xiàn)在：戰(zhàn)爭(zhēng)外溢的第三種形態(tài)

俄烏戰(zhàn)爭(zhēng)打了兩年多，網(wǎng)絡(luò)戰(zhàn)的外溢效應(yīng)正在顯現(xiàn)三種形態(tài)：

第一種是情報(bào)戰(zhàn)。早期俄羅斯黑客主要搞竊密、滲透、為軍事行動(dòng)鋪路。

第二種是干擾戰(zhàn)。對(duì)烏克蘭及其盟友的政府網(wǎng)站、媒體平臺(tái)搞拒絕服務(wù)攻擊，制造混亂但不致命。

第三種是現(xiàn)在冒頭的——基礎(chǔ)設(shè)施破壞戰(zhàn)。直接瞄準(zhǔn)電廠、電網(wǎng)、通信樞紐，試圖造成物理層面的癱瘓。

瑞典這次事件屬于第三種。從時(shí)間線看，這種升級(jí)有跡可循：

? 2022年1月：GRU攻擊多國(guó)政府部門(mén)

? 2022年2月后：對(duì)烏網(wǎng)絡(luò)攻擊激增，同時(shí)波及歐洲多國(guó)

? 2023-2024年：波蘭核研究機(jī)構(gòu)、波蘭電網(wǎng)、瑞典熱電廠接連成為目標(biāo)

波蘭的案例尤其值得對(duì)照。研究人員確認(rèn)俄羅斯政府黑客曾試圖制造波蘭停電；波蘭還攔截過(guò)針對(duì)核研究設(shè)施的網(wǎng)絡(luò)攻擊。這些和瑞典熱電廠攻擊的套路高度相似——關(guān)鍵基礎(chǔ)設(shè)施、工業(yè)控制系統(tǒng)、毀滅性意圖。

博林說(shuō)的"更冒險(xiǎn)、更魯莽"，翻譯過(guò)來(lái)就是：俄羅斯黑客不再精心隱藏行蹤，不再追求長(zhǎng)期潛伏，而是選擇高風(fēng)險(xiǎn)、高沖擊的速攻。這種變化可能反映幾種現(xiàn)實(shí)：

一是戰(zhàn)爭(zhēng)長(zhǎng)期化讓網(wǎng)絡(luò)部隊(duì)承受更大壓力，需要"戰(zhàn)果"交差。二是西方制裁和孤立讓俄羅斯在網(wǎng)絡(luò)空間更加無(wú)所顧忌。三是工業(yè)控制系統(tǒng)的防護(hù)水平提升，迫使攻擊方采取更激進(jìn)的手段。

電廠為什么難守：工業(yè)互聯(lián)網(wǎng)的先天軟肋

熱電廠不是普通IT系統(tǒng)。它的核心是一套工業(yè)控制系統(tǒng)（Industrial Control System，工業(yè)控制系統(tǒng)），包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)（Supervisory Control and Data Acquisition，數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)）、分布式控制系統(tǒng)等。

這些系統(tǒng)有幾個(gè)共同特點(diǎn)，讓它們成為黑客的誘人目標(biāo)：

第一，壽命超長(zhǎng)。很多電廠的核心設(shè)備運(yùn)行了20-30年，設(shè)計(jì)時(shí)根本沒(méi)考慮聯(lián)網(wǎng)安全。當(dāng)年的隔離架構(gòu)（Air Gap，物理隔離）現(xiàn)在被遠(yuǎn)程維護(hù)、云端監(jiān)控打破，但安全機(jī)制沒(méi)跟上。

第二，停不起。電廠是24×7運(yùn)轉(zhuǎn)的，打補(bǔ)丁、升級(jí)系統(tǒng)往往意味著停機(jī)，成本極高。所以很多系統(tǒng)跑的是十年前的軟件版本，漏洞公開(kāi)了也沒(méi)人修。

第三，攻擊面復(fù)雜�，F(xiàn)代電廠有IT網(wǎng)絡(luò)（辦公、財(cái)務(wù)）、OT網(wǎng)絡(luò)（運(yùn)營(yíng)技術(shù)，直接控制設(shè)備），還有兩者之間的接口。任何一環(huán)被突破，都可能橫向滲透到核心。

第四，后果嚴(yán)重。不同于偷點(diǎn)客戶(hù)數(shù)據(jù)，攻破電廠可能導(dǎo)致停電、設(shè)備損毀、甚至人員傷亡。2010年震網(wǎng)病毒（Stuxnet）摧毀伊朗核設(shè)施離心機(jī)，就是工業(yè)控制系統(tǒng)攻擊的教科書(shū)案例。

瑞典這次攻擊被"內(nèi)置保護(hù)機(jī)制"攔住，但沒(méi)說(shuō)是哪一層防護(hù)起了作用�？赡苁蔷W(wǎng)絡(luò)層的入侵檢測(cè)，可能是OT系統(tǒng)的訪問(wèn)控制，也可能是物理層的緊急切斷。無(wú)論哪種，都說(shuō)明電廠做了分層防御——但不是所有電廠都有這個(gè)條件。

歐洲電網(wǎng)的互聯(lián)互通是另一層風(fēng)險(xiǎn)。一個(gè)國(guó)家的電廠被攻破，可能通過(guò)跨國(guó)輸電線路影響鄰國(guó)。瑞典電網(wǎng)和北歐、波羅的海國(guó)家緊密相連，單點(diǎn)故障的傳導(dǎo)效應(yīng)不能低估。

西方在做什么：從"合規(guī)檢查"到"實(shí)戰(zhàn)演練"

面對(duì)這種升級(jí)，歐洲和美國(guó)的應(yīng)對(duì)也在調(diào)整。

監(jiān)管層面，歐盟的《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》（NIS2 Directive，網(wǎng)絡(luò)與信息系統(tǒng)安全指令2.0）2024年開(kāi)始全面生效，把更多關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商納入強(qiáng)制報(bào)告和防護(hù)要求。違反規(guī)定的罰款可達(dá)全球年?duì)I收的10%。

技術(shù)層面，"零信任架構(gòu)"（Zero Trust Architecture，零信任架構(gòu)）正在從IT向OT擴(kuò)展。核心理念：默認(rèn)不信任任何訪問(wèn)請(qǐng)求，持續(xù)驗(yàn)證身份和設(shè)備狀態(tài)。這對(duì)傳統(tǒng)電廠的扁平網(wǎng)絡(luò)是顛覆性改造，但成本極高。

運(yùn)營(yíng)層面，越來(lái)越多的電力公司開(kāi)始搞"紅隊(duì)演練"——請(qǐng)專(zhuān)業(yè)黑客模擬攻擊，測(cè)試真實(shí)防御能力。瑞典這次事件后，北歐國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商可能會(huì)加速這類(lèi)測(cè)試。

但有個(gè)根本矛盾沒(méi)解決：安全投入是成本中心，而電廠首先要保證供電可靠性和成本控制。除非監(jiān)管強(qiáng)制或真的出大事，很多運(yùn)營(yíng)商的改進(jìn)動(dòng)力有限。

博林在記者會(huì)上強(qiáng)調(diào)"更冒險(xiǎn)、更魯莽的行為"，某種程度上也是在給國(guó)內(nèi)產(chǎn)業(yè)敲警鐘：對(duì)手已經(jīng)升級(jí)，防御不能停留在合規(guī)層面。

這場(chǎng)攻擊的真正信號(hào)

瑞典熱電廠事件沒(méi)造成實(shí)際損害，但傳遞了幾個(gè)清晰信號(hào)：

俄羅斯網(wǎng)絡(luò)部隊(duì)的作戰(zhàn)目標(biāo)正在從"干擾"轉(zhuǎn)向"破壞"。這不是戰(zhàn)術(shù)調(diào)整，是戰(zhàn)略升級(jí)。拒絕服務(wù)攻擊是政治表態(tài)，摧毀電廠是戰(zhàn)爭(zhēng)行為。

關(guān)鍵基礎(chǔ)設(shè)施的防護(hù)差距比想象的大。瑞典是歐洲數(shù)字化程度最高的國(guó)家之一，其電廠仍需靠"最后一道防線"保命，其他國(guó)家的情況可想而知。

網(wǎng)絡(luò)攻擊的物理后果正在變得真實(shí)可感。以前說(shuō)"黑客能關(guān)你家電"是夸張修辭，現(xiàn)在越來(lái)越接近字面意思。

最后，這場(chǎng)被攔下的攻擊可能是個(gè)預(yù)演。攻擊者測(cè)試了目標(biāo)防御、驗(yàn)證了滲透路徑，下次可能換種方式再來(lái)。而防守方只知道"有人來(lái)過(guò)"，不知道"他們學(xué)到了什么"。

博林說(shuō)的"魯莽"，換個(gè)角度看也是"不怕被發(fā)現(xiàn)"。當(dāng)攻擊者不再在乎 attribution（溯源歸因），防御方的威懾手段就失效了大半。你能抓到他、能公開(kāi)譴責(zé)他，但阻止不了下一次。

這種不對(duì)稱(chēng)性，可能是未來(lái)網(wǎng)絡(luò)戰(zhàn)最棘手的部分。

瑞典電廠的防火墻這次立功了。但防火墻不會(huì)永遠(yuǎn)在線，攻擊者卻永遠(yuǎn)在找下一個(gè)漏洞。這場(chǎng)貓鼠游戲的成本，最終要由所有用電的人分?jǐn)偂皇琴~單還沒(méi)寄到而已。