Malware DynoWiper
V posledním prosincovém týdnu roku 2025 byla ruská hackerská skupina, všeobecně známá jako Sandworm, připisována k tomu, co bylo popsáno jako největší pokus o kybernetický útok, jaký kdy byl zaznamenán proti polské energetické soustavě. K incidentu došlo v posledních dnech roku a národní orgány jej veřejně uznaly za nejintenzivnější útok na energetickou infrastrukturu země za poslední roky.
Navzdory rozsahu a sofistikovanosti operace byl útok neúspěšný. Polský ministr energetiky Milosz Motyka potvrdil, že k žádnému narušení dodávek elektřiny nedošlo.
Obsah
Kritická infrastruktura pod přímou digitální palbou
Útoky, zjištěné 29. a 30. prosince 2025, byly namířeny na dvě kogenerační jednotky (KVET) a na systém zodpovědný za správu elektřiny vyrobené z obnovitelných zdrojů, včetně větrných turbín a fotovoltaických farem. Vojenské kybernetické síly charakterizovaly tuto aktivitu jako nejsilnější nepřátelskou kybernetickou kampaň proti polské energetické infrastruktuře v nedávné paměti.
Výzkumníci analyzující incident nezaznamenali žádné důkazy o tom, že by pokus o sabotáž dosáhl jakéhokoli operačního dopadu.
DynoWiper se objevuje jako nový destruktivní nástroj
Podle nově zveřejněné zprávy specialistů na informační bezpečnost se operace týkala dříve nezdokumentovaného malwaru typu wiper s názvem DynoWiper, sledovaného také jako Win32/KillFiles.NMO. Přiřazení k nim jako kmen Sandworm je založeno na technických a behaviorálních překrýváních s dřívějšími destruktivními kampaněmi spojenými se stejným protivníkem, zejména s těmi, které byly provedeny po rozsáhlé ruské invazi na Ukrajinu v únoru 2022.
Stěrač byl nasazen v rámci koordinovaného pokusu o narušení polského energetického sektoru, což signalizuje pokračující investice útočníka do účelových nástrojů určených k sabotáži infrastruktury.
Reakce vlády a regulační protiopatření
Polské úřady uvedly, že všechny ukazatele poukazují na skupiny přímo napojené na ruské služby. V reakci na to vláda připravuje dodatečná ochranná opatření, včetně zdokonalení klíčové legislativy v oblasti kybernetické bezpečnosti. Očekává se, že plánovaná opatření zavedou přísnější požadavky na řízení rizik, ochranu informačních technologií (IT) i operačních technologií (OT) a řešení kybernetických incidentů postihujících kritické služby.
Symbolické datum s historickým významem
Načasování aktivity mělo zvláštní význam. Pokus o narušení polské sítě se shodoval s desátým výročím přelomového útoku kybernetického červotoče Sandworm na ukrajinskou energetickou síť v prosinci 2015. Tato dřívější kampaň využila malware BlackEnergy k nasazení destruktivní komponenty známé jako KillDisk, která způsobila výpadky proudu trvající čtyři až šest hodin a nechala zhruba 230 000 obyvatel Ivanofrankivské oblasti bez elektřiny.
Deset let neustálého narušování
Sandworm má za sebou dlouhou historii útoků na kritickou infrastrukturu, zejména na Ukrajině. Deset let po výpadku proudu v roce 2015 skupina nadále sleduje rušivé cíle v mnoha odvětvích.
V červnu 2025 výzkumníci odhalili, že ukrajinská organizace kritické infrastruktury byla napadena dříve nevídaným malwarem pro mazání dat s názvem PathWiper, který vykazoval funkční podobnosti s HermeticWiper, dalším nástrojem spojeným se Sandwormem. Během téhož roku byla skupina také pozorována při nasazení dalších destruktivních malwarových rodin, včetně ZEROLOT a Sting, v síti ukrajinské univerzity, po čemž následovala širší vlna útoků s cílem vymazat data namířených proti ukrajinské vládě, energetickému, logistickému a obilnému sektoru mezi červnem a zářím 2025.
Strategické důsledky pro obranu energetického sektoru
Pokus o narušení polského energetického ekosystému posiluje závěry, že se Sandworm i nadále zaměřuje na kybernetické operace schopné mít fyzické následky. Vznik DynoWiperu spolu s rostoucím katalogem wiperů zdůrazňuje pokračující vývoj destruktivního malwaru a podtrhuje naléhavou potřebu, aby dodavatelé energie posílili odolnost, monitorování a koordinované mechanismy reakce v IT i OT prostředí.
