瑞典電廠遇襲：網絡戰的"破壞"時代來了

「親俄組織曾經只搞拒絕服務攻擊，現在正試圖對歐洲機構發動破壞性網絡攻擊。」——瑞典民防部長卡爾-奧斯卡·博林（Carl-Oskar Bohlin）周三的這句話，標志著網絡戰的一個關鍵轉向。

瑞典政府披露，2025年初，與俄羅斯情報機構有關聯的黑客試圖攻擊該國一座熱電廠。攻擊被內置防護機制攔截，未造成實際損害。但博林口中的「風險更高、更魯莽的行為」，指向一個被低估的趨勢：網絡攻擊正從「干擾」走向「物理破壞」。

這不是孤例。2025年12月，波蘭電網部分系統遭類似攻擊；同年早些時候，挪威一座水壩被短暫劫持，黑客打開閘門導致數百萬加侖水泄出；2024年1月，烏克蘭利沃夫市能源公司被黑，數百戶公寓在嚴寒中停暖兩天。

關鍵基礎設施為何突然成為靶心？攻擊者的能力升級背后，是技術門檻降低，還是戰略意圖轉變？這場辯論正在網絡安全圈激烈展開。

正方觀點：這是國家行為體的「混合戰爭」升級

支持「國家主導論」的分析者指出，攻擊模式呈現明顯的戰略協同特征。

時間線高度敏感。瑞典事件發生在2025年初，正值北約東翼安全態勢緊張期。波蘭、挪威、烏克蘭的襲擊同樣集中在地緣政治關鍵節點。攻擊目標的選擇——電網、水壩、供暖系統——直指民生命脈，符合「通過制造社會混亂削弱對手意志」的經典混合戰爭邏輯。

技術溯源也指向國家機器。博林明確將瑞典事件歸因于「與俄羅斯情報和安全機構有關聯」的黑客。挪威水壩事件中，攻擊者展現了對工業控制系統（ICS）的深入理解，這種能力通常需要長期情報積累和專用工具開發，遠超普通網絡犯罪團伙的資源水平。

更關鍵的是攻擊意圖的轉變。2015年烏克蘭電網遭黑事件后，俄羅斯被觀察到在關鍵基礎設施領域持續「預置」——即長期潛伏于目標系統，等待激活時機。如今從「潛伏」到「動手」，暗示戰略計算的變化：網絡工具從威懾籌碼變為實際打擊手段。

這一派認為，瑞典電廠攻擊未遂恰恰說明風險被低估。內置防護機制攔截成功是僥幸，而非必然。隨著俄烏沖突持續，類似試探將更頻繁，直至找到防御缺口。

反方觀點：過度歸因國家行為，忽視犯罪生態的演化

另一派聲音警告，將一切歸咎于「俄羅斯黑客」可能遮蔽更復雜的現實。

烏克蘭利沃夫事件即為典型案例。研究人員承認「部分證據指向俄羅斯操作者」，但明確標注「無法確認歸因」。這種模糊性在網絡安全領域極為常見——攻擊者常用虛假旗幟、代理服務器和被盜憑證掩蓋身份，國家與犯罪集團的界限日益模糊。

技術門檻的降低是另一變量。工業控制系統的漏洞利用工具近年流入地下市場，勒索軟件團伙如DarkSide、REvil都曾展示過對運營技術（OT）環境的攻擊能力。2021年Colonial Pipeline事件證明，以牟利為目標的犯罪組織同樣能造成大規模物理中斷。

攻擊效果的「破壞性」也可能被夸大。挪威水壩事件中，黑客雖打開閘門，但系統很快被奪回控制權；瑞典攻擊則被防護機制直接攔截。這些「失敗」案例是否真如官方所言證明「魯莽」，還是恰恰說明攻擊者仍在試探邊界、積累經驗？

這一派主張，將事件框架為「國家戰爭」可能觸發不必要的對抗升級。更務實的應對是強化基礎設施韌性，而非陷入歸因政治。

我的判斷：技術民主化與戰略意圖的交匯點

兩派觀點各有盲區。國家行為體與犯罪組織的二分法本身正在失效——俄羅斯情報機構長期利用「網絡民兵」作為代理，既擴大攻擊面，又保留 plausible deniability（合理推諉空間）。瑞典事件中博林的措辭「有關聯」而非「直接指揮」，正是這種模糊性的體現。

真正值得關注的信號是攻擊目標的「物理性」轉向。拒絕服務攻擊（DDoS）只影響服務可用性，而針對SCADA系統（數據采集與監視控制系統）的入侵直接威脅設備安全。這種躍遷需要特定知識，但并非不可獲取：烏克蘭電網2015年遭攻擊后，相關技術細節已被安全社區廣泛研究。

博林所說的「內置防護機制」攔截成功，揭示了防御端的結構性優勢。關鍵基礎設施的工業控制系統通常與互聯網物理隔離，攻擊路徑受限。但這也意味著，每一次「未遂」攻擊都是攻擊者繪制防御地圖的機會——哪些供應商的固件有漏洞？哪些遠程維護接口被忽視？

波蘭、挪威、瑞典、烏克蘭的事件時間線（2024-2025年）顯示，攻擊頻率在上升，地理范圍在擴大。無論歸因于國家意志還是犯罪生態，結果對防御者而言是同一道題：關鍵基礎設施的安全模型假設「外部威脅可控」，這一假設是否仍然成立？

瑞典選擇公開披露而非沉默處理，本身是一種策略轉變。2015年烏克蘭事件后，西方政府長期對基礎設施攻擊保持低調，避免暴露防御弱點或激化局勢。博林的新聞發布會打破這一慣例，暗示威脅評估已越過某個閾值——繼續低調的成本高于公開。

這種計算背后，是能源系統數字化帶來的新脆弱性。熱電廠、水壩、電網的智能化改造提升了效率，也將傳統工業設備暴露于網絡攻擊面。防護機制的有效性取決于持續更新，而運營技術環境的補丁周期通常以月甚至年計，與信息技術環境的敏捷響應形成落差。

俄羅斯政府未回應TechCrunch的置評請求，這一沉默在信息戰中同樣是一種信號。既不承認也不否認，保持戰略模糊，使對手難以確定紅線位置。

對科技從業者而言，這一事件的啟示在于：網絡安全正在從「數據保護」擴展到「物理安全」的交叉地帶。工業控制系統的安全架構設計、供應鏈風險評估、事件響應流程，都需要重新校準假設。瑞典電廠的「內置防護機制」具體是什么？博林未透露細節，但這正是值得追問的技術問題——是網絡分段、異常行為檢測，還是硬件層面的安全啟動？

攻擊者的「魯莽」或許正是防御者的機會窗口。每一次未遂攻擊都留下痕跡，而這些痕跡是改進防御的素材。問題在于，基礎設施運營者是否有動力和能力持續投入——安全成本與運營效率的張力，在利潤驅動的能源行業尤為尖銳。

當網絡攻擊的意圖從「竊取數據」轉向「制造破壞」，技術防御的優先級排序必然變化。備份和加密不足以應對SCADA系統的物理操控威脅，需要假設入侵已發生、聚焦于遏制擴散和快速恢復的設計。

瑞典事件未遂，但攻擊者已經證明其能力和意圖。下一次，內置防護機制是否仍能攔截？如果攻擊者已經通過供應鏈預置了更深層的訪問權限，當前的檢測手段能否發現？

這些不是理論問題。挪威水壩的閘門曾被打開，利沃夫的居民曾在嚴寒中停暖。網絡與物理世界的邊界正在坍塌，而坍塌的速度，似乎快于防御體系的適應速度。