תוכנה זדונית של DynoWiper

בשבוע האחרון של דצמבר 2025, קבוצת ההאקרים הרוסית, הידועה בשם Sandworm, יוחסה למה שתואר כניסיון מתקפת הסייבר הגדול ביותר שתועד אי פעם נגד מערכת החשמל של פולין. התקרית התרחשה בימים האחרונים של השנה והוכרה בפומבי על ידי הרשויות הלאומיות כמתקפה העזה ביותר על תשתית האנרגיה של המדינה מזה שנים.

למרות היקף ותחכום המבצע, ההתקפה לא צלחה. שר האנרגיה של פולין, מילוש מוטיקה, אישר כי לא נצפתה הפרעה באספקת החשמל.

תשתית קריטית תחת אש דיגיטלית ישירה

המתקפות, שזוהו ב-29 וב-30 בדצמבר 2025, כוונו נגד שתי תחנות כוח משולבות (CHP) ונגד מערכת האחראית על ניהול חשמל המופק ממקורות מתחדשים, כולל טורבינות רוח וחוות פוטו-וולטאיות. כוחות הסייבר הצבאיים אפיינו את הפעילות כקמפיין הסייבר העוין החזק ביותר נגד תשתית האנרגיה הפולנית בזיכרון האחרון.

חוקרים שניתחו את האירוע לא דיווחו על ראיות לכך שניסיון החבלה השיג השפעה מבצעית כלשהי.

DynoWiper מתגלה ככלי הרסני חדש

על פי דו"ח שפורסם לאחרונה על ידי מומחי אבטחת מידע, המבצע כלל נוזקה של מחיקת קבצים בשם DynoWiper, אשר אותרה גם כ-Win32/KillFiles.NMO, שלא תועדה בעבר. הייחוס ל-Sandworm מבוסס על חפיפות טכניות והתנהגותיות עם קמפיינים הרסניים קודמים הקשורים לאותו יריב, במיוחד אלו שבוצעו לאחר הפלישה המלאה של רוסיה לאוקראינה בפברואר 2022.

המגב נפרס כחלק מניסיון מתואם לשבש את מגזר האנרגיה של פולין, מה שמאותת על המשך ההשקעה מצד גורם האיום בכלים ייעודיים שנועדו לחבלה בתשתיות.

תגובת הממשלה ואמצעי נגד רגולטוריים

הרשויות הפולניות הצהירו כי כל האינדיקטורים מצביעים על קבוצות הקשורות ישירות לשירותים רוסיים. בתגובה, הממשלה מכינה אמצעי הגנה נוספים, כולל קידום חקיקת סייבר מרכזית. הצעדים המתוכננים צפויים להטיל דרישות מחמירות יותר לניהול סיכונים, הגנה על מערכות טכנולוגיית מידע (IT) וטכנולוגיה תפעולית (OT), וטיפול באירועי סייבר המשפיעים על שירותים קריטיים.

תאריך סמלי בעל תהודה היסטורית

לעיתוי הפעילות הייתה משמעות מיוחדת. ניסיון הפריצה לרשת החשמל של פולין התרחש במקביל לציון עשור למתקפה ההיסטורית של Sandworm על רשת החשמל של אוקראינה בדצמבר 2015. קמפיין קודם זה מינף את הנוזקה BlackEnergy כדי לפרוס רכיב הרסני המכונה KillDisk, מה שגרם להפסקות חשמל שנמשכו ארבע עד שש שעות והותיר כ-230,000 תושבים באזור איוונו-פרנקיבסק ללא חשמל.

עשור של שיבוש מתמשך

ל"סנדוורם" יש רקורד ארוך של פגיעה בתשתיות קריטיות, בעיקר באוקראינה. עשר שנים לאחר הפסקת החשמל ב-2015, הקבוצה ממשיכה לשאוף ליעדים פורצי דרך במגוון מגזרים.

ביוני 2025, חוקרים חשפו כי ארגון תשתית קריטית אוקראיני נפגע מתוכנה זדונית למחיקת נתונים שלא נראתה קודם לכן בשם PathWiper, שהראתה דמיון פונקציונלי ל-HermeticWiper, כלי נוסף הקשור ל-Sandworm. במהלך אותה שנה, הקבוצה נצפתה גם פורסת משפחות תוכנות זדוניות הרסניות נוספות, כולל ZEROLOT ו-Sting, בתוך רשת אוניברסיטאות אוקראינית, ולאחר מכן גל רחב יותר של מתקפות למחיקת נתונים נגד גופים ממשלתיים, אנרגיה, לוגיסטיקה ודגנים אוקראינים בין יוני לספטמבר 2025.

השלכות אסטרטגיות על הגנת מגזר האנרגיה

ניסיון החדירה למערכת החשמל של פולין מחזק את ההערכה ש-Sandworm נותרה ממוקדת בפעולות סייבר המסוגלות לייצר השלכות על העולם הפיזי. הופעתה של DynoWiper, לצד קטלוג הולך וגדל של תוכנות הגנה, מדגישה את ההתפתחות המתמשכת של תוכנות זדוניות הרסניות ומדגישה את הדחיפות של ספקי אנרגיה לחזק את החוסן, הניטור ומנגנוני התגובה המתואמים בסביבות ה-IT וה-OT כאחד.