DynoWiper-haittaohjelma
Joulukuun 2025 viimeisellä viikolla venäläinen kansallisvaltioiden hakkeriryhmä, joka tunnetaan laajalti nimellä Sandworm, syytettiin Puolan sähköjärjestelmää vastaan koskaan kirjatusta suurimmasta kyberhyökkäysyrityksestä. Tapaus sattui vuoden viimeisinä päivinä, ja viranomaiset tunnustivat sen julkisesti intensiivisimpänä hyökkäyksenä maan energiainfrastruktuuria vastaan vuosiin.
Operaation laajuudesta ja hienostuneisuudesta huolimatta hyökkäys epäonnistui. Puolan energiaministeri Milosz Motyka vahvisti, ettei sähköntoimituksessa havaittu häiriöitä.
Sisällysluettelo
Kriittinen infrastruktuuri suoran digitaalisen tulituksen alla
Hyökkäykset, jotka havaittiin 29. ja 30. joulukuuta 2025, kohdistuivat kahteen sähkön ja lämmön yhteistuotantolaitokseen (CHP) ja järjestelmään, joka vastaa uusiutuvista lähteistä, kuten tuuliturbiineista ja aurinkosähköpuistoista, tuotetun sähkön hallinnasta. Sotilaalliset kyberavaruusjoukot kuvailivat toimintaa voimakkaimmaksi vihamieliseksi kyberkampanjaksi Puolan energiainfrastruktuuria vastaan lähihistoriassa.
Tapahtumaa analysoineet tutkijat eivät löytäneet näyttöä siitä, että sabotaasiyrityksellä olisi ollut mitään operatiivista vaikutusta.
DynoWiper nousee uudeksi tuhoisaksi työkaluksi
Tietoturva-asiantuntijoiden äskettäin julkaiseman raportin mukaan operaatioon liittyi aiemmin dokumentoimaton DynoWiper-niminen pyyhkijähaittaohjelma, jota seurattiin myös nimellä Win32/KillFiles.NMO. Sandworm-iskun syyksi epäillään teknisiä ja käyttäytymiseen liittyviä päällekkäisyyksiä samaan viholliseen liittyvien aiempien tuhoisien kampanjoiden kanssa, erityisesti niiden, joita toteutettiin Venäjän täysimittaisen Ukrainan-hyökkäyksen jälkeen helmikuussa 2022.
Pyyhkijä otettiin käyttöön osana koordinoitua yritystä häiritä Puolan energiasektoria, mikä viestii uhkatoimijan jatkuvista investoinneista infrastruktuurisabotaasiin tarkoitettuihin tarkoitukseen rakennettuihin työkaluihin.
Hallituksen vastaus ja sääntelyyn liittyvät vastatoimet
Puolan viranomaiset totesivat, että kaikki indikaattorit viittaavat ryhmiin, jotka ovat suoraan yhteydessä venäläisiin palveluihin. Vastauksena tähän hallitus valmistelee lisäsuojatoimia, mukaan lukien keskeisen kyberturvallisuuslainsäädännön edistäminen. Suunniteltujen toimenpiteiden odotetaan asettavan tiukempia vaatimuksia riskienhallinnalle, sekä tietotekniikan (IT) että operatiivisten teknologioiden (OT) suojaamiselle ja kriittisiin palveluihin vaikuttavien kyberpoikkeamien käsittelylle.
Symbolinen päivämäärä, jolla on historiallista resonanssia
Toiminnan ajoituksella oli erityinen merkitys. Puolan sähköverkkoon tunkeutumisyritys osui samaan aikaan Sandwormin Ukrainan sähköverkkoon tekemän merkittävän hyökkäyksen kymmenvuotispäivän kanssa joulukuussa 2015. Aiempi kampanja hyödynsi BlackEnergy-haittaohjelmaa ottaakseen käyttöön tuhoisan KillDisk-komponentin, joka aiheutti neljästä kuuteen tuntia kestäviä sähkökatkoksia ja jätti noin 230 000 Ivano-Frankivskin alueen asukasta ilman sähköä.
Vuosikymmen jatkuvaa häiriötä
Sandworm on pitkään kohdistanut iskujaan kriittiseen infrastruktuuriin, erityisesti Ukrainassa. Kymmenen vuotta vuoden 2015 sähkökatkon jälkeen ryhmä jatkaa disruptiivisten tavoitteiden tavoittelua useilla eri sektoreilla.
Kesäkuussa 2025 tutkijat paljastivat, että ukrainalainen kriittisen infrastruktuurin organisaatio oli joutunut aiemmin näkymättömän PathWiper-nimisen tietoja pyyhkivän haittaohjelman uhriksi. Haittaohjelma osoitti toiminnallisia yhtäläisyyksiä HermeticWiperin, toisen Sandworm-haittaohjelmaan liittyvän työkalun, kanssa. Samana vuonna ryhmän havaittiin myös asentavan lisää tuhoisia haittaohjelmaperheitä, kuten ZEROLOT ja Sting, ukrainalaisen yliopiston verkkoon. Tämän jälkeen kesäkuun ja syyskuun 2025 välisenä aikana ryhmän havaittiin käyttävän laajempaa tietoja pyyhkivää hyökkäysaaltoa Ukrainan hallituksen, energia-, logistiikka- ja viljasektorin toimijoita vastaan.
Strategiset vaikutukset energia-alan puolustukseen
Puolan energiaekosysteemiin tunkeutumisyritys vahvistaa arviota, että Sandworm keskittyy edelleen kyberoperaatioihin, jotka kykenevät aiheuttamaan seurauksia fyysisessä maailmassa. DynoWiperin esiinmarssi kasvavan pyyhkijöiden luettelon ohella korostaa tuhoisien haittaohjelmien jatkuvaa kehitystä ja korostaa energiayhtiöiden kiireellisyyttä vahvistaa sietokykyä, valvontaa ja koordinoituja reagointimekanismeja sekä IT- että OT-ympäristöissä.
