DynoWiper ļaunprogrammatūra
2025. gada decembra pēdējā nedēļā Krievijas hakeru grupa, plaši pazīstama kā Sandworm, tika vainota tajā, kas tiek raksturots kā lielākais jebkad reģistrētais kiberuzbrukuma mēģinājums Polijas elektroenerģijas sistēmai. Incidents risinājās gada pēdējās dienās, un valsts iestādes to publiski atzina par intensīvāko uzbrukumu valsts enerģētikas infrastruktūrai pēdējo gadu laikā.
Neskatoties uz operācijas mērogu un sarežģītību, uzbrukums nebija veiksmīgs. Polijas enerģētikas ministrs Milošs Motika apstiprināja, ka elektroenerģijas piegādes traucējumi netika novēroti.
Satura rādītājs
Kritiskā infrastruktūra tiešā digitālā apšaudē
Uzbrukumi, kas tika atklāti 2025. gada 29. un 30. decembrī, bija vērsti pret divām koģenerācijas stacijām (KSE) un sistēmu, kas atbild par no atjaunojamiem avotiem saražotās elektroenerģijas pārvaldību, tostarp vēja turbīnām un fotoelektriskajām elektrostacijām. Militārie kibertelpas spēki šo aktivitāti raksturoja kā spēcīgāko naidīgo kiberkampaņu pret Polijas enerģētikas infrastruktūru pēdējā laikā.
Pētnieki, kas analizēja incidentu, nekonstatēja nekādus pierādījumus tam, ka sabotāžas mēģinājumam būtu bijusi kāda operatīva ietekme.
DynoWiper parādās kā jauns destruktīvs rīks
Saskaņā ar informācijas drošības speciālistu nesen publicēto ziņojumu, operācijā bija iesaistīta iepriekš nedokumentēta tīrīšanas ļaunprogrammatūra ar nosaukumu DynoWiper, kas tiek izsekota arī kā Win32/KillFiles.NMO. Piedēvēšana Sandworm ir balstīta uz tehniskām un uzvedības pārklāšanām ar iepriekšējām postošām kampaņām, kas saistītas ar to pašu pretinieku, īpaši tām, kas tika veiktas pēc Krievijas pilna mēroga iebrukuma Ukrainā 2022. gada februārī.
Stikla tīrītājs tika izmantots kā daļa no koordinēta mēģinājuma traucēt Polijas enerģētikas sektora darbību, signalizējot par to, ka apdraudējuma izpildītājs turpina ieguldīt līdzekļus mērķtiecīgi izstrādātos instrumentos, kas paredzēti infrastruktūras sabotāžai.
Valdības reakcija un regulatīvie pretpasākumi
Polijas varas iestādes paziņoja, ka visi rādītāji norāda uz grupām, kas ir tieši saistītas ar Krievijas pakalpojumiem. Reaģējot uz to, valdība gatavo papildu drošības pasākumus, tostarp galveno kiberdrošības tiesību aktu pilnveidošanu. Paredzams, ka plānotie pasākumi noteiks stingrākas prasības risku pārvaldībai, gan informācijas tehnoloģiju (IT), gan operatīvo tehnoloģiju (OT) sistēmu aizsardzībai un kiberincidentu, kas ietekmē kritiski svarīgus pakalpojumus, risināšanai.
Simbolisks datums ar vēsturisku rezonansi
Īpaša nozīme bija aktivitātes laikam. Mēģinājums ielauzties Polijas elektrotīklā sakrita ar Sandworm vēsturiskā uzbrukuma Ukrainas elektrotīklam desmito gadadienu 2015. gada decembrī. Iepriekšējā kampaņa izmantoja BlackEnergy ļaunprogrammatūru, lai izvietotu destruktīvu komponentu, kas pazīstams kā KillDisk, izraisot četru līdz sešu stundu ilgus strāvas padeves pārtraukumus un atstājot aptuveni 230 000 Ivanofrankivskas apgabala iedzīvotāju bez elektrības.
Desmitgade pastāvīgu traucējumu
Sandworm ir uzkrājis ilgstošu pieredzi kritiskās infrastruktūras apkarošanā, jo īpaši Ukrainā. Desmit gadus pēc 2015. gada elektroenerģijas padeves pārtraukuma grupa turpina īstenot revolucionārus mērķus vairākās nozarēs.
2025. gada jūnijā pētnieki atklāja, ka Ukrainas kritiskās infrastruktūras organizāciju ir skāra iepriekš neredzēta datu dzēšanas ļaunprogrammatūra ar nosaukumu PathWiper, kurai bija funkcionālas līdzības ar HermeticWiper, citu ar Sandworm saistītu rīku. Tajā pašā gadā tika novērots, ka grupa Ukrainas universitātes tīklā izvieto papildu postošas ļaunprogrammatūras saimes, tostarp ZEROLOT un Sting, kam sekoja plašāks datu dzēšanas uzbrukumu vilnis pret Ukrainas valdības, enerģētikas, loģistikas un graudu nozares organizācijām laikā no 2025. gada jūnija līdz septembrim.
Stratēģiskā ietekme uz enerģētikas sektora aizsardzību
Mēģinājums ielauzties Polijas enerģētikas ekosistēmā apstiprina novērtējumu, ka Sandworm joprojām koncentrējas uz kiberoperācijām, kas spēj radīt sekas fiziskā pasaulē. DynoWiper parādīšanās līdzās pieaugošajam tīrītāju katalogam izceļ nepārtraukto postošās ļaunprogrammatūras attīstību un uzsver enerģijas piegādātāju steidzamību stiprināt noturību, uzraudzību un koordinētus reaģēšanas mehānismus gan IT, gan OT vidē.
