DynoWiper-skadevare
I den siste uken av desember 2025 ble den russiske hackergruppen Sandworm, allment kjent som en nasjonalstat, tilskrevet det som har blitt beskrevet som det største cyberangrepsforsøket som noensinne er registrert mot Polens kraftsystem. Hendelsen utspilte seg i løpet av årets siste dager og ble offentlig anerkjent av nasjonale myndigheter som det mest intense angrepet på landets energiinfrastruktur på flere år.
Til tross for operasjonens omfang og kompleksitet, var angrepet mislykket. Polens energiminister, Milosz Motyka, bekreftet at det ikke ble observert noen avbrudd i strømforsyningen.
Innholdsfortegnelse
Kritisk infrastruktur under direkte digital ild
Angrepene, som ble oppdaget 29. og 30. desember 2025, var rettet mot to kraftvarmeverk (CHP) og mot et system som er ansvarlig for å håndtere elektrisitet generert fra fornybare kilder, inkludert vindturbiner og solcelleanlegg. Militære cyberspace-styrker karakteriserte aktiviteten som den sterkeste fiendtlige cyberkampanjen mot polsk energiinfrastruktur i nyere tid.
Forskere som analyserte hendelsen rapporterte ingen bevis for at sabotasjeforsøket hadde noen operativ innvirkning.
DynoWiper fremstår som et nytt destruktivt verktøy
Ifølge en nylig utgitt rapport fra spesialister på informasjonssikkerhet involverte operasjonen en tidligere udokumentert malware kalt DynoWiper, også sporet som Win32/KillFiles.NMO. Tilskrivelsen til Sandworm er basert på tekniske og atferdsmessige overlapp med tidligere destruktive kampanjer knyttet til samme motstander, spesielt de som ble utført etter Russlands fullskala invasjon av Ukraina i februar 2022.
Vindusviskeren ble utplassert som en del av et koordinert forsøk på å forstyrre Polens energisektor, noe som signaliserer fortsatte investeringer fra trusselaktøren i spesialbygde verktøy designet for infrastruktursabotasje.
Myndighetenes respons og regulatoriske mottiltak
Polske myndigheter uttalte at alle indikatorer peker mot grupper som er direkte knyttet til russiske tjenester. Som svar forbereder regjeringen ytterligere sikkerhetstiltak, inkludert fremdrift av viktig lovgivning om cybersikkerhet. De planlagte tiltakene forventes å stille strengere krav til risikostyring, beskyttelse av både IT- og driftsteknologisystemer (OT-systemer), og håndtering av cyberhendelser som påvirker kritiske tjenester.
En symbolsk dato med historisk resonans
Tidspunktet for aktiviteten hadde spesiell betydning. Forsøket på innbrudd i det polske strømnettet falt sammen med tiårsdagen for Sandworms banebrytende angrep på Ukrainas strømnett i desember 2015. Den tidligere kampanjen utnyttet BlackEnergy-skadevaren til å distribuere en destruktiv komponent kjent som KillDisk, noe som utløste strømbrudd som varte i fire til seks timer og etterlot omtrent 230 000 innbyggere i Ivano-Frankivsk-regionen uten strøm.
Et tiår med vedvarende forstyrrelser
Sandworm har bygget en lang historie med å målrette kritisk infrastruktur, særlig i Ukraina. Ti år etter strømbruddet i 2015 fortsetter gruppen å forfølge disruptive mål på tvers av flere sektorer.
I juni 2025 avslørte forskere at en ukrainsk kritisk infrastrukturorganisasjon hadde blitt rammet av en tidligere usett dataslettingsskadevare kalt PathWiper, som viste funksjonelle likheter med HermeticWiper, et annet verktøy tilknyttet Sandworm. I løpet av samme år ble gruppen også observert mens de distribuerte ytterligere destruktive skadevarefamilier, inkludert ZEROLOT og Sting, innenfor et ukrainsk universitetsnettverk, etterfulgt av en bredere bølge av dataslettingsangrep mot ukrainske myndigheter, energi-, logistikk- og kornsektorenheter mellom juni og september 2025.
Strategiske implikasjoner for energisektorens forsvar
Forsøket på inntrenging i Polens kraftøkosystem forsterker vurderingen av at Sandworm fortsatt fokuserer på cyberoperasjoner som kan gi konsekvenser for den fysiske verden. Fremveksten av DynoWiper, sammen med en voksende katalog av vindusviskere, fremhever den fortsatte utviklingen av destruktiv skadelig programvare og understreker hvor viktig det er for energileverandører å styrke robusthet, overvåking og koordinerte responsmekanismer på tvers av både IT- og OT-miljøer.
