Зловреден софтуер DynoWiper
През последната седмица на декември 2025 г. руската хакерска група, известна като Sandworm, беше обвинена в това, което беше описано като най-големият опит за кибератака, регистриран някога срещу енергийната система на Полша. Инцидентът се разигра през последните дни на годината и беше публично признат от националните власти като най-интензивната атака срещу енергийната инфраструктура на страната от години.
Въпреки мащаба и сложността на операцията, атаката беше неуспешна. Министърът на енергетиката на Полша Милош Мотика потвърди, че не е наблюдавано прекъсване на електрозахранването.
Съдържание
Критична инфраструктура под директен дигитален обстрел
Атаките, засечени на 29 и 30 декември 2025 г., бяха насочени към две когенерационни централи (ТЕЦ) и към система, отговорна за управлението на електроенергията, генерирана от възобновяеми източници, включително вятърни турбини и фотоволтаични паркове. Военните сили в киберпространството характеризираха дейността като най-силната враждебна киберкампания срещу полската енергийна инфраструктура в последно време.
Изследователите, анализиращи инцидента, не са съобщили за доказателства, че опитът за саботаж е постигнал някакъв оперативен ефект.
DynoWiper се очертава като нов разрушителен инструмент
Според новопубликуван доклад на специалисти по информационна сигурност, операцията е включвала недокументиран досега зловреден софтуер за почистване на данни, наречен DynoWiper, проследяван също като Win32/KillFiles.NMO. Приписването на Sandworm се основава на технически и поведенчески припокривания с по-ранни разрушителни кампании, свързани със същия противник, особено тези, проведени след пълномащабното нахлуване на Русия в Украйна през февруари 2022 г.
Чистачката беше разположена като част от координиран опит за нарушаване на енергийния сектор на Полша, което сигнализира за продължаващи инвестиции от страна на злонамерената група в специално създадени инструменти, предназначени за саботаж на инфраструктура.
Правителствен отговор и регулаторни контрамерки
Полските власти заявиха, че всички индикатори сочат към групи, пряко свързани с руските служби. В отговор правителството подготвя допълнителни предпазни мерки, включително усъвършенстване на ключово законодателство в областта на киберсигурността. Очаква се планираните мерки да наложат по-строги изисквания за управление на риска, защита както на информационните (ИТ), така и на оперативните (ОТ) системи, и справяне с киберинциденти, засягащи критични услуги.
Символична дата с исторически резонанс
Моментът на действието беше особено важен. Опитът за проникване в полската електропреносна мрежа съвпадна с десетата годишнина от знаковата атака на Sandworm срещу електропреносната мрежа на Украйна през декември 2015 г. Тази по-ранна кампания използва зловредния софтуер BlackEnergy, за да внедри разрушителен компонент, известен като KillDisk, предизвиквайки прекъсвания на електрозахранването с продължителност от четири до шест часа и оставяйки около 230 000 жители в Ивано-Франковска област без електричество.
Десетилетие на постоянни смущения
„Пясъчният червей“ има дълга история на нападения срещу критична инфраструктура, най-вече в Украйна. Десет години след спирането на електрозахранването през 2015 г., групата продължава да преследва разрушителни цели в множество сектори.
През юни 2025 г. изследователи разкриха, че украинска организация за критична инфраструктура е била засегната от невиждан досега зловреден софтуер за изтриване на данни, наречен PathWiper, който показва функционални сходства с HermeticWiper, друг инструмент, свързан със Sandworm. През същата година групата е наблюдавана и при внедряването на допълнителни разрушителни семейства зловреден софтуер, включително ZEROLOT и Sting, в украинска университетска мрежа, последвано от по-широка вълна от атаки за изтриване на данни срещу украинското правителство, енергийния, логистичния и зърнения сектор между юни и септември 2025 г.
Стратегически последици за отбраната на енергийния сектор
Опитът за проникване в енергийната екосистема на Полша подкрепя оценката, че Sandworm остава фокусиран върху кибероперации, способни да доведат до последици във физическия свят. Появата на DynoWiper, наред с нарастващия каталог от wiper-и, подчертава продължаващата еволюция на разрушителния зловреден софтуер и подчертава неотложната необходимост доставчиците на енергия да засилят устойчивостта, мониторинга и координираните механизми за реагиране както в ИТ, така и в ОТ среди.
