بدافزار DynoWiper

در هفته پایانی دسامبر ۲۰۲۵، گروه هکری دولتی روسیه که با نام Sandworm شناخته می‌شود، مسئول بزرگترین حمله سایبری ثبت شده علیه سیستم برق لهستان توصیف شد. این حادثه در آخرین روزهای سال رخ داد و مقامات ملی رسماً آن را شدیدترین حمله به زیرساخت‌های انرژی کشور در سال‌های اخیر دانستند.

با وجود مقیاس و پیچیدگی عملیات، این حمله ناموفق بود. میلوش موتیکا، وزیر انرژی لهستان، تأیید کرد که هیچ اختلالی در تأمین برق مشاهده نشده است.

زیرساخت‌های حیاتی زیر آتش مستقیم دیجیتال

این حملات که در ۲۹ و ۳۰ دسامبر ۲۰۲۵ شناسایی شدند، دو نیروگاه ترکیبی گرما و برق (CHP) و سیستمی را که مسئول مدیریت برق تولید شده از منابع تجدیدپذیر، از جمله توربین‌های بادی و مزارع فتوولتائیک، بود، هدف قرار دادند. نیروهای فضای مجازی ارتش، این فعالیت را به عنوان قوی‌ترین کمپین سایبری خصمانه علیه زیرساخت‌های انرژی لهستان در دوران اخیر توصیف کردند.

محققانی که این حادثه را تجزیه و تحلیل کردند، هیچ مدرکی مبنی بر اینکه این اقدام خرابکارانه تأثیر عملیاتی داشته باشد، گزارش نکردند.

DynoWiper به عنوان یک ابزار مخرب جدید ظهور می‌کند

طبق گزارش تازه منتشر شده توسط متخصصان امنیت اطلاعات، این عملیات شامل یک بدافزار پاک‌کننده اطلاعات به نام DynoWiper بوده که قبلاً مستند نشده و با نام Win32/KillFiles.NMO نیز ردیابی می‌شود. انتساب این بدافزار به Sandworm بر اساس همپوشانی‌های فنی و رفتاری با کمپین‌های مخرب قبلی مرتبط با همان دشمن، به ویژه آن‌هایی که پس از حمله تمام عیار روسیه به اوکراین در فوریه 2022 انجام شده است، صورت گرفته است.

این پاک‌کننده اطلاعات به عنوان بخشی از یک تلاش هماهنگ برای ایجاد اختلال در بخش انرژی لهستان مستقر شد که نشان‌دهنده سرمایه‌گذاری مداوم عامل تهدید در ابزارهای هدفمند طراحی‌شده برای خرابکاری در زیرساخت‌ها است.

واکنش دولت و اقدامات متقابل نظارتی

مقامات لهستانی اظهار داشتند که همه شاخص‌ها به گروه‌هایی اشاره دارند که مستقیماً به سرویس‌های روسی متصل هستند. در پاسخ، دولت در حال آماده‌سازی اقدامات حفاظتی اضافی، از جمله پیشبرد قوانین کلیدی امنیت سایبری، است. انتظار می‌رود اقدامات برنامه‌ریزی‌شده، الزامات سختگیرانه‌تری را برای مدیریت ریسک، حفاظت از سیستم‌های فناوری اطلاعات (IT) و فناوری عملیاتی (OT) و مدیریت حوادث سایبری مؤثر بر سرویس‌های حیاتی اعمال کند.

یک تاریخ نمادین با طنین تاریخی

زمان‌بندی این فعالیت اهمیت ویژه‌ای داشت. تلاش برای نفوذ به شبکه برق لهستان با دهمین سالگرد حمله‌ی مهم Sandworm به شبکه برق اوکراین در دسامبر ۲۰۱۵ همزمان شد. در آن کمپین قبلی، از بدافزار BlackEnergy برای استقرار یک مؤلفه مخرب به نام KillDisk استفاده شد که باعث قطع برق چهار تا شش ساعته شد و تقریباً ۲۳۰ هزار نفر از ساکنان منطقه ایوانو-فرانکیفسک را بدون برق گذاشت.

یک دهه اختلال مداوم

گروه سندورم سابقه طولانی در هدف قرار دادن زیرساخت‌های حیاتی، به ویژه در اوکراین، دارد. ده سال پس از خاموشی سال ۲۰۱۵، این گروه همچنان به دنبال اهداف مخرب در بخش‌های مختلف است.

در ژوئن ۲۰۲۵، محققان فاش کردند که یک سازمان زیرساخت حیاتی اوکراینی توسط یک بدافزار پاک‌کننده داده که قبلاً دیده نشده بود و PathWiper نام داشت، مورد حمله قرار گرفته است. این بدافزار شباهت‌های عملکردی با HermeticWiper، یکی دیگر از ابزارهای مرتبط با Sandworm، نشان می‌داد. در همان سال، مشاهده شد که این گروه همچنین در حال استقرار خانواده‌های بدافزار مخرب دیگری، از جمله ZEROLOT و Sting، در یک شبکه دانشگاهی اوکراینی است و به دنبال آن موج گسترده‌تری از حملات پاک‌کننده داده علیه نهادهای دولتی، انرژی، لجستیک و بخش غلات اوکراین بین ژوئن و سپتامبر ۲۰۲۵ رخ داد.

پیامدهای استراتژیک برای دفاع از بخش انرژی

تلاش برای نفوذ به اکوسیستم برق لهستان، این ارزیابی را تقویت می‌کند که Sandworm همچنان بر عملیات سایبری با قابلیت ایجاد پیامدهای فیزیکی در جهان متمرکز است. ظهور DynoWiper، در کنار فهرست رو به رشدی از پاک‌کننده‌ها، تکامل مداوم بدافزارهای مخرب را برجسته می‌کند و بر ضرورت تقویت تاب‌آوری، نظارت و سازوکارهای واکنش هماهنگ توسط ارائه‌دهندگان انرژی در محیط‌های فناوری اطلاعات و عملیات عملیاتی تأکید دارد.