DynoWiper-malware
In de laatste week van december 2025 werd de Russische staatsgestuurde hackergroep Sandworm verantwoordelijk gehouden voor wat is beschreven als de grootste cyberaanval ooit op het Poolse elektriciteitsnet. Het incident vond plaats in de laatste dagen van het jaar en werd door de nationale autoriteiten publiekelijk erkend als de meest intense aanval op de energie-infrastructuur van het land in jaren.
Ondanks de omvang en geavanceerdheid van de operatie is de aanval mislukt. De Poolse minister van Energie, Milosz Motyka, bevestigde dat er geen verstoring van de elektriciteitsvoorziening is waargenomen.
Inhoudsopgave
Kritieke infrastructuur onder direct digitaal vuur
De aanvallen, die op 29 en 30 december 2025 werden gedetecteerd, waren gericht op twee warmtekrachtcentrales en op een systeem dat verantwoordelijk is voor het beheer van elektriciteit opgewekt uit hernieuwbare bronnen, waaronder windturbines en zonnepanelen. Militaire cyberstrijdkrachten omschreven de activiteit als de zwaarste vijandige cyberaanval op de Poolse energie-infrastructuur in recente jaren.
Onderzoekers die het incident analyseerden, vonden geen bewijs dat de poging tot sabotage operationele gevolgen had gehad.
DynoWiper komt naar voren als een nieuw destructief gereedschap.
Volgens een recent gepubliceerd rapport van informatiebeveiligingsspecialisten was bij de operatie een voorheen ongedocumenteerde wiper-malware betrokken, genaamd DynoWiper, ook bekend als Win32/KillFiles.NMO. De toewijzing aan Sandworm is gebaseerd op technische en gedragsmatige overeenkomsten met eerdere destructieve campagnes die aan dezelfde tegenstander werden gelinkt, met name die welke werden uitgevoerd na de grootschalige Russische invasie van Oekraïne in februari 2022.
De ruitenwisser werd ingezet als onderdeel van een gecoördineerde poging om de Poolse energiesector te ontwrichten, wat wijst op voortdurende investeringen van de dader in speciaal ontworpen instrumenten voor sabotage van de infrastructuur.
Overheidsreactie en wettelijke tegenmaatregelen
De Poolse autoriteiten hebben verklaard dat alle aanwijzingen wijzen op groepen die rechtstreeks verbonden zijn met Russische diensten. Als reactie hierop bereidt de regering extra maatregelen voor, waaronder de verdere ontwikkeling van belangrijke wetgeving op het gebied van cyberbeveiliging. De geplande maatregelen zullen naar verwachting strengere eisen stellen aan risicobeheer, de bescherming van zowel informatietechnologie (IT) als operationele technologie (OT) systemen, en de afhandeling van cyberincidenten die kritieke diensten treffen.
Een symbolische datum met historische betekenis.
De timing van de activiteit was bijzonder significant. De poging tot inbraak in het Poolse elektriciteitsnet viel samen met de tiende verjaardag van de baanbrekende aanval van Sandworm op het Oekraïense elektriciteitsnet in december 2015. Bij die eerdere aanval werd de BlackEnergy-malware gebruikt om een destructieve component genaamd KillDisk te installeren, die stroomstoringen van vier tot zes uur veroorzaakte en ongeveer 230.000 inwoners van de regio Ivano-Frankivsk zonder elektriciteit achterliet.
Een decennium van aanhoudende verstoring
Sandworm heeft een lange geschiedenis van aanvallen op kritieke infrastructuur, met name in Oekraïne. Tien jaar na de stroomstoring van 2015 blijft de groep ontwrichtende doelen nastreven in diverse sectoren.
In juni 2025 onthulden onderzoekers dat een Oekraïense organisatie voor kritieke infrastructuur was getroffen door een voorheen onbekende malware genaamd PathWiper, die gegevens wiste en functionele overeenkomsten vertoonde met HermeticWiper, een andere tool die geassocieerd wordt met Sandworm. In hetzelfde jaar werd ook vastgesteld dat de groep andere destructieve malwarefamilies, waaronder ZEROLOT en Sting, inzette binnen een Oekraïens universiteitsnetwerk. Dit werd gevolgd door een bredere golf van aanvallen met gegevenswissers tegen Oekraïense overheidsinstanties en entiteiten in de energie-, logistieke en graansector tussen juni en september 2025.
Strategische implicaties voor de defensie van de energiesector
De poging tot inbraak in het Poolse energiesysteem versterkt de inschatting dat Sandworm zich blijft richten op cyberaanvallen die fysieke gevolgen kunnen hebben. De opkomst van DynoWiper, samen met een groeiend aantal wipers, benadrukt de voortdurende evolutie van destructieve malware en onderstreept de urgentie voor energieleveranciers om hun weerbaarheid, monitoring en gecoördineerde responsmechanismen in zowel IT- als OT-omgevingen te versterken.
