DynoWiper-malware
I den sidste uge af december 2025 blev den russiske hackergruppe, der er bredt kendt som Sandworm, tilskrevet det, der er blevet beskrevet som det største cyberangrebsforsøg nogensinde registreret mod Polens elsystem. Hændelsen udspillede sig i løbet af årets sidste dage og blev offentligt anerkendt af de nationale myndigheder som det mest intense angreb på landets energiinfrastruktur i årevis.
Trods operationens omfang og sofistikerede karakter var angrebet mislykket. Polens energiminister, Milosz Motyka, bekræftede, at der ikke blev observeret nogen afbrydelse af elforsyningen.
Indholdsfortegnelse
Kritisk infrastruktur under direkte digital beskydning
Angrebene, der blev opdaget den 29. og 30. december 2025, var rettet mod to kraftvarmeværker (CHP) og mod et system, der er ansvarligt for at styre elektricitet produceret fra vedvarende energikilder, herunder vindmøller og solcelleanlæg. Militære cyberspace-styrker karakteriserede aktiviteten som den stærkeste fjendtlige cyberkampagne mod polsk energiinfrastruktur i nyere tid.
Forskere, der analyserede hændelsen, rapporterede ingen beviser for, at sabotageforsøget havde nogen operationel effekt.
DynoWiper fremstår som et nyt destruktivt værktøj
Ifølge en nyligt offentliggjort rapport fra informationssikkerhedsspecialister involverede operationen en tidligere udokumenteret wiper-malware ved navn DynoWiper, også sporet som Win32/KillFiles.NMO. Tilskrivelsen til Sandworm er baseret på tekniske og adfærdsmæssige overlap med tidligere destruktive kampagner knyttet til den samme modstander, især dem, der blev udført efter Ruslands fuldskala invasion af Ukraine i februar 2022.
Viskeren blev indsat som en del af et koordineret forsøg på at forstyrre Polens energisektor, hvilket signalerer fortsatte investeringer fra trusselsaktøren i specialbyggede værktøjer designet til infrastruktursabotage.
Regeringens reaktion og lovgivningsmæssige modforanstaltninger
De polske myndigheder har udtalt, at alle indikatorer peger på grupper, der er direkte forbundet med russiske tjenester. Som reaktion herpå forbereder regeringen yderligere sikkerhedsforanstaltninger, herunder fremme af vigtig cybersikkerhedslovgivning. De planlagte foranstaltninger forventes at stille strengere krav til risikostyring, beskyttelse af både informationsteknologiske (IT) og driftsteknologiske (OT) systemer samt håndtering af cyberhændelser, der påvirker kritiske tjenester.
En symbolsk dato med historisk resonans
Tidspunktet for aktiviteten havde særlig betydning. Det forsøg på indtrængen i det polske elnet faldt sammen med tiårsdagen for Sandworms skelsættende angreb på Ukraines elnet i december 2015. Den tidligere kampagne udnyttede BlackEnergy-malwaren til at implementere en destruktiv komponent kendt som KillDisk, hvilket udløste strømafbrydelser af fire til seks timers varighed og efterlod omkring 230.000 indbyggere i Ivano-Frankivsk-regionen uden strøm.
Et årti med vedvarende forstyrrelser
Sandworm har opbygget en lang historie med at målrette kritisk infrastruktur, især i Ukraine. Ti år efter strømafbrydelsen i 2015 fortsætter gruppen med at forfølge banebrydende mål på tværs af flere sektorer.
I juni 2025 afslørede forskere, at en ukrainsk kritisk infrastrukturorganisation var blevet ramt af en hidtil uset data-sledende malware kaldet PathWiper, som viste funktionelle ligheder med HermeticWiper, et andet Sandworm-relateret værktøj. I samme år blev gruppen også observeret i gang med at implementere yderligere destruktive malwarefamilier, herunder ZEROLOT og Sting, inden for et ukrainsk universitetsnetværk, efterfulgt af en bredere bølge af data-sledende angreb mod ukrainske regerings-, energi-, logistik- og kornsektorenheder mellem juni og september 2025.
Strategiske implikationer for energisektorens forsvar
Forsøget på at trænge ind i Polens energisystem forstærker vurderingen af, at Sandworm fortsat fokuserer på cyberoperationer, der kan have konsekvenser for den fysiske verden. Fremkomsten af DynoWiper, sammen med et voksende katalog af wipers, fremhæver den fortsatte udvikling af destruktiv malware og understreger, hvor vigtigt det er, at energileverandører styrker modstandsdygtighed, overvågning og koordinerede responsmekanismer på tværs af både IT- og OT-miljøer.
