在数字与物理世界深度融合的当下,能源基础设施作为国家关键信息基础设施的核心,正成为网络攻击的首要目标。2026年初,暗网浮出多款专为能源行业打造的新型OT攻击框架,这类框架由国家背景黑客组织与黑灰产团伙联合打造,兼具专业化攻击能力与“平民化”使用门槛,不仅直接突破传统工业控制系统的防御边界,更实现了对能源生产、传输、调度全链路的精准打击,让全球能源基础设施面临前所未有的物理损毁、业务瘫痪与供应链连锁崩溃风险。
相较于传统OT攻击手段,新型框架在攻击技术、传播模式、杀伤效果上实现多重升级,加之暗网“攻击即服务(AaaS)”生态的成熟,能源行业的网络安全防御正从“被动防护”向“全域对抗”转型,构建适配OT环境的全生命周期安全体系已迫在眉睫。
一、暗网新型OT攻击框架:技术升级与生态成熟双轮驱动,攻击门槛大幅降低
2026年2月,网络安全研究机构Lab52在暗网“黑市卡特尔”平台发现由伊朗背景APT组织推出的新型工业控制网络攻击框架,该框架被宣称是“迄今最全面的工业与军事控制网络攻击工具”,可精准操控电力配电系统、实现负荷平衡破坏与设备压力测试,成为暗网新型OT攻击框架的典型代表。相较于此前的OT攻击工具,当前暗网流通的新型框架已形成“技术专业化+使用傻瓜化+交易产业化”的特征,彻底打破了“只有高级APT组织才能发起有效OT攻击”的行业认知,让能源基础设施面临全域、高频的攻击威胁。
(一)协议级精准打击,直击OT环境核心漏洞
新型OT攻击框架不再局限于通用漏洞利用,而是针对能源行业标准化工业协议进行定制化开发,重点瞄准IEC 61850、IEC 61970、IEC 104、Modbus等电力系统核心通信协议——这类协议是电站、变电站、电网调度中心的“通信语言”,但普遍缺乏认证与加密机制。新型框架可直接伪造、篡改协议指令,实现对RTU远程终端、PLC可编程逻辑控制器、HMI人机界面的精准操控,从数据窃取转向直接的物理层破坏,例如通过发送虚假指令引发电网跳闸、变压器过载、风机停机等不可逆的设备损毁,真正实现“网络攻击=物理破坏”。
(二)AaaS生态成熟,低技能攻击者亦可发起致命攻击
暗网已形成完整的OT攻击产业链,新型框架与“能源企业权限资源”“漏洞利用工具”“技术支持服务”捆绑销售,构成标准化的“攻击即服务”套餐。当前暗网中,能源企业VPN/RDP远程访问入口售价在500-3000美元,高价值电力调度中心、热电厂核心权限可达五位数美元;搭配预制的DynoWiper擦除器、OrpaCrab后门等工具,攻击者无需具备专业的工业控制系统知识,只需按照教程操作即可完成从入侵、横向移动到破坏的全攻击链。更值得警惕的是,部分框架还提供“定制化攻击服务”,黑灰产团伙可根据客户需求,针对特定能源站点、设备进行攻击方案设计,让攻击更具针对性。
(三)融合LotL与无文件技术,隐蔽性与抗检测性大幅提升
新型OT攻击框架全面采用“就地取材(LotL)”与无持久化、无C2服务器的攻击手法,完美规避传统安防设备的检测。攻击者利用OT环境原生合法程序、工具发起攻击,不向目标系统植入新的恶意程序,让基于特征码检测的工业防火墙、IDS入侵检测系统形同虚设;同时,以DynoWiper为代表的擦除工具无需C2服务器指挥,部署后可自主枚举、破坏OT系统核心文件与配置,攻击完成后无残留,大幅延长攻击潜伏时间,往往直到设备出现物理故障,企业才发现遭受攻击。部分框架还将PLC设备作为临时C2服务器,利用工业网络的封闭性隐藏通信轨迹,进一步提升溯源难度。
(四)AI驱动自动化攻击,攻击链缩短且可规模化复制
AI技术的融入让新型OT攻击框架实现了自动化、自适应攻击,攻击者可通过AI算法对能源企业OT网络进行快速扫描、漏洞挖掘,自动生成攻击路径;同时,利用AI基于当地语言发起定向钓鱼攻击,精准突破能源企业运维人员的心理防线。更关键的是,AI驱动的攻击框架可将针对某一能源站点的攻击路径“复制-粘贴”式应用到其他同类站点——由于能源行业普遍采用标准化设备配置、统一的运维流程,一处站点的防御漏洞可能成为整个行业的“共性短板”,让攻击实现规模化扩散,数十上百个同类站点可在短时间内接连沦陷。
二、能源基础设施安全现状:多重脆弱性叠加,防御体系面临全域挑战
世界经济论坛与西门子能源联合调研显示,77%的能源企业在过去12个月内遭受过针对OT环境的成功网络攻击,62%的攻击超过1个月才被发现,平均恢复时间长达7个月,24%的攻击直接导致OT业务流程中断。当前能源行业的OT安全防御体系,仍存在“边界模糊、资产不清、漏洞未修、协同不足”等多重脆弱性,与新型OT攻击框架的攻击能力形成鲜明反差,成为攻击屡屡得手的核心原因。
(一)IT/OT边界模糊,边缘设备成首要攻击入口
能源行业数字化转型过程中,为提升运维效率,大量OT系统与IT系统实现互联互通,但多数企业未建立严格的边界隔离机制。防火墙、VPN设备、工业交换机等边缘设备普遍采用默认配置、弱口令,且长期未进行漏洞修复与版本升级,成为攻击者突破OT环境的“首要入口”。2025年底针对波兰风电、光伏与热电厂的DynoWiper攻击事件,正是攻击者通过SSL-VPN弱口令入侵,实现从IT网络到OT网络的横向移动,最终完成设备破坏。
(二)资产与漏洞管理缺失,全生命周期管控体系未建立
能源企业普遍存在OT资产“底数不清”的问题,大量老旧PLC、HMI设备缺乏统一的资产台账,固件版本、设备型号、部署位置等关键信息缺失;同时,高危漏洞修复滞后,部分能源企业因担心影响生产稳定性,对已披露的工业控制系统漏洞长期不修复,甚至部分设备因厂商停产无法获取补丁,形成“永久漏洞”。更值得警惕的是,能源行业大量采用通用廉价设备,标准化的硬件配置与软件版本让漏洞具有“通用性”,一处设备的漏洞可能导致整个网络的安全防线崩溃。
(三)供应链安全防线薄弱,设备从源头存在安全隐患
能源基础设施的核心设备如PLC、SCADA系统,多采用国外进口产品,企业在采购过程中往往只关注性能与价格,缺乏对设备供应链的安全评估。部分设备在生产、运输、部署过程中已被植入后门、恶意固件,从源头就存在安全隐患;同时,企业对设备固件的完整性校验机制缺失,攻击者可通过篡改固件实现对设备的长期控制。2025年曝光的“3500万美元漏洞利用工具贱卖”事件显示,部分核心工业漏洞工具被内部人员窃取并在暗网流通,这些工具可能被用于篡改能源设备固件,让供应链安全成为能源行业的“最大短板”之一。
(四)安全团队能力不足,IT/OT协同防御机制缺失
能源企业的安全团队多聚焦于IT网络安全,缺乏具备工业控制系统知识与OT安全防护经验的专业人才;同时,IT团队与OT团队各自为战,缺乏有效的协同防御机制,OT团队关注生产稳定性,对安全风险重视不足,IT团队的安全防护措施往往无法适配OT环境的特殊需求,导致防御体系出现“真空地带”。此外,多数能源企业未制定针对性的OT应急响应预案,也未开展常态化的实战化演练,一旦遭受攻击,无法快速阻断攻击链、恢复生产,导致损失持续扩大。
(五)威胁情报滞后,无法应对新型、未知攻击
能源企业的威胁情报体系多基于传统IT网络,缺乏针对OT环境的专属威胁情报,对暗网新型OT攻击框架、黑灰产交易动态、APT组织战术手法(TTPs)的追踪与分析不足。当新型攻击框架出现时,企业无法及时获取相关的攻击特征、防御策略,只能被动应对,无法实现“提前预警、主动防御”。同时,能源行业内部的威胁情报共享机制尚未建立,企业之间缺乏攻击案例、漏洞信息的交流,导致同类攻击在行业内反复发生。
三、新型OT攻击下能源基础设施的防御升级:从被动防护到全域、主动、协同防御
面对暗网新型OT攻击框架的多重威胁,能源基础设施的安全防御不能再局限于“单点防护”“被动响应”,而是需要立足OT环境的特殊性,构建“边界隔离、纵深检测、资产管控、供应链安全、应急响应、威胁情报”六位一体的全域安全防御体系;同时,借助AI、零信任等新技术,实现防御体系的主动化、智能化升级,从“事后补救”转向“事前预防、事中阻断、事后快速恢复”,全面提升能源行业的网络安全防护能力。
(一)强化边界隔离与访问控制,筑牢OT环境第一道防线
严格划分IT/OT网络边界,部署专业的工业防火墙、网闸等设备,实现IT与OT网络的物理或逻辑隔离,禁止从IT网络到OT网络的无授权访问;对必须的跨域访问,采用“单向访问、最小权限”原则,仅开放业务所需的端口与协议,关闭所有不必要的服务。同时,对VPN、RDP等远程访问入口进行严格管控,强制启用双因素认证(2FA),清理弱口令账户,定期更换访问密码,对远程访问行为进行全程审计与监控,及时发现异常访问行为。
(二)构建纵深检测体系,实现对OT攻击的全链路监控与阻断
针对OT环境部署专属的工业IDS/IPS、终端检测与响应(EDR)设备,重点监控PLC、RTU、HMI等核心设备的指令操作、固件变更、数据传输行为,建立OT系统的正常行为基线,一旦发现偏离基线的异常行为(如伪造协议指令、批量删除文件、固件异常升级),立即发出告警并自动阻断。同时,部署网络流量分析工具,对工业协议流量进行深度解析,及时发现伪造、篡改的协议数据包;利用AI技术对海量安全数据进行分析,实现对未知、新型攻击的精准检测,提升防御体系的抗干扰能力与检测效率。
(三)完善资产与漏洞全生命周期管理,从源头降低安全风险
开展OT资产全面清查,建立统一、动态的资产台账,明确设备型号、固件版本、部署位置、责任人等关键信息,实现对OT资产的可视化管理;针对清查发现的漏洞,建立分级分类的漏洞修复机制,对高危、紧急漏洞在90天内完成修复,对中低危漏洞制定合理的修复计划,同时采用漏洞扫描、渗透测试等手段,定期检测漏洞修复效果。对无法修复的老旧设备,采取物理隔离、功能限制等措施,降低被攻击的风险;同时,禁用设备的默认账号、密码,修改默认端口,提升设备的基础安全防护能力。
(四)构建供应链全流程安全体系,守住设备源头安全
建立能源设备采购的安全评估机制,将安全指标纳入设备采购的核心考核标准,优先选择具备完善安全体系、提供固件更新与漏洞修复服务的厂商;对采购的设备进行全流程安全检测,包括出厂检测、到货检测、部署前检测,重点检查设备是否被植入后门、恶意固件,对固件进行完整性校验,确保设备源头安全。同时,与设备厂商建立长期的安全合作机制,及时获取固件更新、漏洞预警等信息;构建能源行业供应链安全共享平台,实现漏洞信息、安全事件的互通共享,共同抵御供应链安全风险。
(五)建立IT/OT协同的应急响应体系,提升快速处置能力
制定针对性的OT网络安全应急预案,明确应急响应流程、责任分工、处置措施,重点涵盖设备入侵、指令篡改、系统瘫痪等典型攻击场景;建立IT/OT协同的应急响应团队,整合IT安全、OT运维、生产管理等多部门力量,开展常态化的实战化应急演练,每季度至少开展一次针对断电、设备故障、网络攻击的联合演练,提升团队的快速处置能力。同时,建立核心配置与数据的备份机制,采用离线备份、异地备份等方式,确保在遭受攻击后,能够快速恢复OT系统的正常运行,最大限度降低损失;与电网调度中心、应急管理部门、网络安全监管机构建立联动机制,构建“网络-物理”协同的处置流程,提升重大安全事件的处置效率。
(六)打造OT专属威胁情报体系,实现主动防御与精准对抗
建立能源行业OT威胁情报中心,重点追踪暗网OT攻击框架交易动态、APT组织战术手法、工业控制系统漏洞信息、能源行业攻击案例,实现对威胁的实时监测与预警;利用AI技术对威胁情报进行深度分析,挖掘攻击行为的共性特征与发展趋势,为防御体系优化提供数据支撑。同时,构建企业内部的威胁情报共享机制,实现各部门、各站点之间的威胁情报互通;将威胁情报与工业防火墙、IDS/IPS等安防设备联动,实现威胁特征的实时更新,让防御体系能够快速应对新型、未知攻击,从“被动防护”转向“主动防御”。
(七)借助AI与零信任技术,实现防御体系的智能化、动态化升级
将AI技术全面融入OT安全防御的全流程,利用AI实现漏洞的自动挖掘、攻击的精准检测、应急响应的自动化处置,提升防御体系的效率与智能化水平;例如,利用AI算法对OT网络流量进行实时分析,及时发现异常行为;利用AI驱动的SOAR安全编排自动化响应平台,实现攻击告警、分析、阻断的自动化处理,缩短应急响应时间。同时,将零信任安全理念引入OT环境,遵循“永不信任、始终验证”的原则,对所有访问OT系统的人员、设备、应用进行严格的身份认证与权限校验,实现对访问行为的细粒度管控,即使边界被突破,也能有效限制攻击者的横向移动范围,防止攻击扩散。
四、未来展望:构建能源基础设施网络安全全域防御生态,筑牢国家能源安全屏障
暗网新型OT攻击框架的出现,标志着针对能源基础设施的网络攻击已进入“专业化、产业化、智能化”的新阶段,网络安全已成为影响国家能源安全的核心因素。未来,随着数字技术与能源产业的深度融合,新能源、储能、智能电网等领域的网络安全风险将进一步凸显,OT与IT、CT的融合将让攻击面持续扩大,AI、量子计算等新技术的应用,也将让网络攻击与防御的对抗进入更高维度。
在此背景下,能源行业的网络安全防御不能仅依靠企业自身,需要构建“政府监管、企业主体、行业协同、技术支撑”的全域防御生态。政府层面,应加快完善能源网络安全法律法规与标准体系,强化对关键能源基础设施的网络安全监管,建立网络安全事件应急处置机制;行业层面,应构建能源网络安全协同防御平台,实现威胁情报、漏洞信息、攻击案例的共享,开展联合攻防演练,提升行业整体防御能力;企业层面,应切实履行网络安全主体责任,加大安全投入,完善安全防御体系,提升专业人才队伍建设;技术层面,应加强OT安全核心技术与产品的自主研发,突破工业防火墙、入侵检测、固件安全等关键技术瓶颈,实现核心安防设备的自主可控,摆脱对国外产品的依赖。
能源安全是国家安全的重要基石,而网络安全是能源安全的重要保障。面对暗网新型OT攻击框架的多重威胁,唯有正视能源基础设施的网络安全脆弱性,加快构建全域、主动、协同、智能的网络安全防御体系,才能有效抵御各类网络攻击,守住国家能源安全的网络防线,为能源产业的高质量发展提供坚实的安全保障。
