随着全球地缘政治紧张局势的升级，能源行业正面临前所未有的网络安全挑战。众多网络安全公司和第三方机构发布报告，显示能源、石油、天然气和公用事业部门的网络攻击事件显著增加，勒索软件、国家级间谍活动、黑客行动主义和供应链攻击等多种威胁交织，严重威胁着关键基础设施的安全。

勒索软件主导攻击形势

2024 年，能源与公用事业领域的勒索软件攻击激增 80%，远高于其他行业。据 TrustWave 报告，这类攻击多从 IT 系统入手，并逐步向关键的 OT（操作技术）网络渗透，试图瘫痪能源生产流程以谋取高额赎金。

最具代表性的攻击事件包括：

DragonForce 攻击 Ikav Energy：这家总部位于卢森堡的可再生能源投资公司泄露了 177 GB 的敏感数据，包括美国居民的姓名与社会安全号。

Babuk 派生组织攻击巴西核企 NUCLEP：攻击者要求支付 150 万美元换取对数据的独家访问权，泄露数据高达 1.7 TB，远超此前 Meow Leaks 披露的 250 GB。

2024 年能源行业最严重的一次勒索软件攻击，是 RansomHub 对 Halliburton 的入侵。Halliburton 总部设于迪拜（阿联酋）和休斯顿（美国），是全球第二大油田服务公司，参与了全球多数水力压裂作业。据 外媒报道，此次攻击造成 Halliburton 损失高达 3500 万美元，“由于漏洞导致公司关闭 IT 系统并断开客户连接。”

2025 年 4 月，HUNTER 分析师在 RAMP 网络犯罪论坛上注意到一则公告，显示 RansomHub 已决定迁移至 DragonForce 的勒索软件即服务（RaaS）基础设施平台。这表明多个勒索组织正在整合资源与平台，这种联盟化趋势可能导致攻击规模和复杂度进一步升级。

民族国家与黑客行动主义暗战不断

能源设施已成为网络间谍活动的重要目标。多个国家支持的高级持续性威胁（APT）组织针对能源基础设施展开定向攻击：

Lazarus Group通过“DreamJob 计划”向核设施员工投放伪装成技能评估工具的恶意软件。

CyberAv3ngers攻击全球范围内以色列制造的可编程逻辑控制器（PLC），意图干扰水电网络。

Midnight Blizzard利用 Microsoft 365 的 OAuth 权限机制秘密窃取能源行业的通信信息。

与此同时，黑客行动主义者也在制造舆论攻势，频繁声称已入侵法国、比利时、美国德州等地的核电站、水电站 SCADA 系统与冷却装置。虽然多数攻击尚无实质证据，但其传播策略足以影响公众对能源安全的信任。

Resecurity 分析称，“这些组织正将地缘政治动机投射到网络空间中，试图通过渗透关键基础设施展现网络战能力。”

供应链风险成最大漏洞

信息窃取与供应链攻击已成为当前能源网络安全中的主要弱点：

HellCat 攻击施耐德电气：通过 Lumma 信息窃取程序感染员工设备，取得公司内部 Jira 系统访问权，泄露超过 40 万行数据。

Cl0P 攻击 MOVEit 平台：波及 Entergy、Nevada Energy、Appalachian Power 等多家北美公用事业公司，暴露出广泛依赖第三方软件带来的系统性风险。

据 KPMG 和 Security Scorecard 数据，能源行业近半数泄露事件源自第三方软件，且 90% 的多次受害者都通过相同供应链路径被攻击。

对核基础设施的攻击

尽管核能系统多实行物理隔离，但攻击者仍在通过外围入侵手段展开渗透：

1.马来西亚核机构数据库泄露

2.阿联酋核能公司数据泄露

3.希腊核能公司的 VPN 访问

4.电力科学研究院 （EPRI） 数据库

5.GE 网络登录，包括对核电站的访问

6.法国 Framatome 遭受 DDoS 攻击

7.比利时 Doel 和 Tihange 核电站遭受 DDoS 攻击

InfraShield 总裁 Mark Rorabaugh 警告称，“核设施的最大隐患来自内部——被员工或承包商引入的恶意可移动存储设备。”

云计算、工业物联网（IIoT）与人工智能的深度融合正在重塑全球能源体系，同时也无可避免地扩展了攻击面，为各类威胁行为者提供了更多潜在入口。在 IT 与 OT 系统边界日益模糊的今天，能源网络的每一次技术升级，既是效率的跃进，也可能是风险的裂缝。

网络空间的“军备竞赛”愈演愈烈，从传统的间谍渗透到日益具备物理破坏能力的攻击链条，国家、黑客组织乃至匿名行动者正在将能源系统作为战略打击与意识形态较量的前线。在这一日趋复杂的安全博弈中，能源行业唯有将网络防御视为核心战略支柱，从供应链到终端设备构建全域防护体系，方能在技术驱动的新时代中守住国家发展的“生命线”。