DynoWiper kártevő
2025 decemberének utolsó hetében a Sandworm néven ismert orosz nemzetállami hackercsoportot a lengyel villamosenergia-rendszer ellen valaha feljegyzett legnagyobb kibertámadási kísérletként emlegették. Az incidens az év utolsó napjaiban történt, és a nemzeti hatóságok nyilvánosan az ország energiainfrastruktúrája elleni legintenzívebb támadásként ismerték el.
A művelet mértéke és kifinomultsága ellenére a támadás sikertelen volt. Milosz Motyka lengyel energiaügyi miniszter megerősítette, hogy nem észleltek fennakadást az áramellátásban.
Tartalomjegyzék
Kritikus infrastruktúra közvetlen digitális tűz alatt
A 2025. december 29-én és 30-án észlelt támadások két kapcsolt hő- és villamosenergia-termelő (CHP) erőmű, valamint egy megújuló forrásokból származó villamos energia kezeléséért felelős rendszer, köztük szélturbinák és fotovoltaikus erőművek ellen irányultak. A katonai kibertér-erők a tevékenységet a lengyel energiainfrastruktúra elleni legerősebb ellenséges kiberkampányként jellemezték az utóbbi időkben.
Az incidenst elemző kutatók nem találtak bizonyítékot arra, hogy a szabotázskísérlet bármilyen működési hatást ért volna el.
A DynoWiper új roncsoló eszközként jelenik meg
Egy információbiztonsági szakértők által nemrégiben közzétett jelentés szerint a műveletben egy korábban nem dokumentált, DynoWiper nevű ablaktörlő kártevő vett részt, amelyet Win32/KillFiles.NMO néven is nyomon követtek. A Sandwormhoz való hozzárendelés a korábbi, ugyanazon ellenfélhez kapcsolódó romboló kampányokkal való technikai és viselkedési átfedéseken alapul, különösen azokon, amelyeket Oroszország 2022 februári teljes körű ukrajnai inváziója után hajtottak végre.
Az ablaktörlőt a lengyel energiaszektor megzavarására irányuló összehangolt kísérlet részeként vetették be, jelezve, hogy a fenyegető szereplő továbbra is befektet az infrastrukturális szabotázsra tervezett eszközökbe.
Kormányzati válaszlépések és szabályozási ellenintézkedések
A lengyel hatóságok kijelentették, hogy minden mutató az orosz szolgáltatásokhoz közvetlenül kapcsolódó csoportokra utal. Válaszul a kormány további biztosítékokat készít elő, beleértve a kulcsfontosságú kiberbiztonsági jogszabályok továbbfejlesztését. A tervezett intézkedések várhatóan szigorúbb követelményeket írnak elő a kockázatkezelés, az informatikai (IT) és az operatív technológiai (OT) rendszerek védelme, valamint a kritikus szolgáltatásokat érintő kiberbiztonsági incidensek kezelése terén.
Egy szimbolikus dátum történelmi visszhanggal
A tevékenység időzítése különös jelentőséggel bírt. A lengyelországi hálózati behatolási kísérlet egybeesett a Sandworm ukrán villamosenergia-hálózat elleni mérföldkőnek számító támadásának tizedik évfordulójával 2015 decemberében. A korábbi kampány a BlackEnergy rosszindulatú programot használta fel egy KillDisk nevű romboló komponens telepítésére, amely négy-hat órás áramkimaradásokat okozott, és az Ivano-Frankivszk régió nagyjából 230 000 lakosát hagyta áram nélkül.
Egy évtizednyi folyamatos zavar
A Sandworm hosszú múltra tekint vissza a kritikus infrastruktúrák célba vételében, különösen Ukrajnában. Tíz évvel a 2015-ös áramszünet után a csoport továbbra is diszruptív célokat követ több ágazatban.
2025 júniusában kutatók bejelentették, hogy egy ukrán kritikus infrastruktúrával foglalkozó szervezetet egy korábban nem látott, PathWiper nevű adattörlő kártevő támadott meg, amely funkcionális hasonlóságokat mutatott a HermeticWiperhez, egy másik, a Sandwormhoz kapcsolódó eszközhöz. Ugyanebben az évben a csoport további romboló kártevőcsaládokat, köztük a ZEROLOT-ot és a Stinget is telepített egy ukrán egyetemi hálózaton belül, majd 2025 júniusa és szeptembere között egy szélesebb körű adattörlő támadási hullámot indított az ukrán kormány, az energia-, a logisztikai és a gabonaszektorbeli szervezetek ellen.
Stratégiai következmények az energiaszektor védelmére
A lengyelországi energia-ökoszisztémába való behatolási kísérlet megerősíti azt a becslést, hogy a Sandworm továbbra is a fizikai világban is következményekkel járó kiberműveletekre összpontosít. A DynoWiper megjelenése, a törlőkendők egyre bővülő katalógusával együtt, rávilágít a romboló rosszindulatú programok folyamatos fejlődésére, és aláhúzza, hogy az energiaszolgáltatóknak sürgősen meg kell erősíteniük a rugalmasságot, a monitorozást és az összehangolt reagálási mechanizmusokat mind az informatikai, mind az OT-környezetben.
