DynoWiperi pahavara
2025. aasta detsembri viimasel nädalal omistati Venemaa rahvusriiklikule häkkerirühmitusele Sandworm rünnakule, mida on kirjeldatud kui suurimat kunagi Poola elektrisüsteemi vastu suunatud küberrünnakut. Juhtum leidis aset aasta viimastel päevadel ja riigivõimud tunnistasid seda avalikult kui ulatuslikumat rünnakut riigi energiainfrastruktuuri vastu aastate jooksul.
Vaatamata operatsiooni ulatusele ja keerukusele ebaõnnestus rünnak. Poola energeetikaminister Milosz Motyka kinnitas, et elektrivarustuses häireid ei täheldatud.
Sisukord
Kriitiline infrastruktuur otsese digitaalse tule all
29. ja 30. detsembril 2025 avastatud rünnakud olid suunatud kahele koostootmisjaamale (CHP) ning süsteemile, mis vastutab taastuvatest energiaallikatest toodetud elektri, sealhulgas tuuleturbiinide ja fotogalvaanikaparkide haldamise eest. Sõjaväe küberruumi jõud iseloomustasid seda tegevust kui viimase aja tugevaimat vaenulikku küberkampaaniat Poola energiainfrastruktuuri vastu.
Juhtumit analüüsinud teadlased ei leidnud mingeid tõendeid selle kohta, et sabotaažikatsel oleks olnud operatiivset mõju.
DynoWiper ilmub uue hävitava tööriistana
Infoturbespetsialistide äsja avaldatud aruande kohaselt oli operatsioonis osalenud varem dokumenteerimata puhastuspahavara nimega DynoWiper, mida jälgiti ka kui Win32/KillFiles.NMO. Sandwormile omistamine põhineb tehnilistel ja käitumuslikel kattumistel sama vastase vastu seotud varasemate hävitavate kampaaniatega, eriti nendega, mis viidi läbi pärast Venemaa täiemahulist sissetungi Ukrainasse 2022. aasta veebruaris.
Klaasipuhasti võeti kasutusele osana koordineeritud katsest häirida Poola energiasektorit, mis andis märku ohutegelase jätkuvatest investeeringutest spetsiaalselt loodud tööriistadesse, mis on loodud taristu sabotaažiks.
Valitsuse reageering ja regulatiivsed vastumeetmed
Poola ametivõimud teatasid, et kõik näitajad viitavad Venemaa teenustega otseselt seotud rühmitustele. Vastuseks valmistab valitsus ette täiendavaid kaitsemeetmeid, sealhulgas oluliste küberturvalisuse õigusaktide edasiarendamist. Kavandatud meetmed peaksid kehtestama rangemad nõuded riskijuhtimisele, nii infotehnoloogia (IT) kui ka operatiivtehnoloogia (OT) süsteemide kaitsmisele ning kriitilisi teenuseid mõjutavate küberintsidentide käsitlemisele.
Sümboolne kuupäev ajaloolise resonantsiga
Tegevuse ajastus oli eriti oluline. Poola elektrivõrku sissetungi katse langes kokku Sandwormi ajaloolise rünnaku kümnenda aastapäevaga Ukraina elektrivõrgule 2015. aasta detsembris. Varasem kampaania kasutas BlackEnergy pahavara, et käivitada hävitav komponent KillDisk, mis põhjustas nelja- kuni kuuetunniseid elektrikatkestusi ja jättis umbes 230 000 Ivano-Frankivski oblastis elektrita.
Kümme aastat kestnud püsivaid häireid
Sandworm on pikka aega sihikule võtnud kriitilise infrastruktuuri, eelkõige Ukrainas. Kümme aastat pärast 2015. aasta elektrikatkestust jätkab grupp murranguliste eesmärkide saavutamist mitmes sektoris.
2025. aasta juunis avalikustasid teadlased, et Ukraina kriitilise infrastruktuuri organisatsiooni rünnati varem nägemata andmeid kustutava pahavaraga nimega PathWiper, millel olid funktsionaalsed sarnasused HermeticWiperiga, mis on teine Sandwormiga seotud tööriist. Samal aastal täheldati, et rühmitus juurutas Ukraina ülikooli võrku ka täiendavaid hävitavaid pahavaraperekondi, sealhulgas ZEROLOTi ja Stingit, millele järgnes laiem andmete kustutamise rünnakute laine Ukraina valitsuse, energia-, logistika- ja teraviljasektori üksuste vastu 2025. aasta juunist septembrini.
Strateegilised tagajärjed energiasektori kaitsele
Katse tungida Poola energiaökosüsteemi kinnitab hinnangut, et Sandworm keskendub endiselt küberoperatsioonidele, mis on võimelised tekitama füüsilise maailma tagajärgi. DynoWiperi ilmumine koos kasvava pühkijate kataloogiga rõhutab hävitava pahavara jätkuvat arengut ja rõhutab energiatarnijate pakilisust tugevdada vastupidavust, seiret ja koordineeritud reageerimismehhanisme nii IT- kui ka OT-keskkondades.
