Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Oprogramowanie złośliwe DynoWiper

Oprogramowanie złośliwe DynoWiper

Do Mezo w Złośliwe oprogramowanie, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

W ostatnim tygodniu grudnia 2025 roku rosyjska państwowa grupa hakerska, powszechnie znana jako Sandworm, została uznana za sprawcę największej w historii próby cyberataku na polski system energetyczny. Incydent miał miejsce w ostatnich dniach roku i został publicznie uznany przez władze krajowe za najintensywniejszy atak na infrastrukturę energetyczną kraju od lat.

Pomimo skali i zaawansowania operacji, atak zakończył się niepowodzeniem. Minister energii Polski, Miłosz Motyka, potwierdził, że nie zaobserwowano żadnych zakłóceń w dostawach energii elektrycznej.

Infrastruktura krytyczna pod bezpośrednim ostrzałem cyfrowym

Ataki, wykryte 29 i 30 grudnia 2025 roku, były skierowane na dwie elektrociepłownie (CHP) oraz system zarządzania energią elektryczną pochodzącą ze źródeł odnawialnych, w tym turbin wiatrowych i farm fotowoltaicznych. Wojskowe siły cyberprzestrzeni określiły tę aktywność jako najsilniejszą wrogą kampanię cybernetyczną przeciwko polskiej infrastrukturze energetycznej w ostatnich latach.

Badacze analizujący incydent nie znaleźli żadnych dowodów na to, że próba sabotażu miała jakikolwiek wpływ operacyjny.

DynoWiper wyłania się jako nowe narzędzie destrukcyjne

Według najnowszego raportu specjalistów ds. bezpieczeństwa informacji, w operacji wykorzystano wcześniej nieudokumentowane złośliwe oprogramowanie typu wiper o nazwie DynoWiper, śledzone również jako Win32/KillFiles.NMO. Przypisanie go Sandwormowi opiera się na technicznych i behawioralnych podobieństwach do wcześniejszych destrukcyjnych kampanii powiązanych z tym samym przeciwnikiem, w szczególności tych przeprowadzonych po pełnej inwazji Rosji na Ukrainę w lutym 2022 roku.

Wycieraczka została wdrożona w ramach skoordynowanej próby zakłócenia funkcjonowania polskiego sektora energetycznego, co wskazuje na ciągłe inwestowanie przez podmiot stwarzający zagrożenie w narzędzia celowo zaprojektowane do sabotażu infrastruktury.

Reakcja rządu i przeciwdziałanie regulacjom

Polskie władze oświadczyły, że wszystkie wskaźniki wskazują na grupy bezpośrednio powiązane z rosyjskimi usługami. W odpowiedzi rząd przygotowuje dodatkowe zabezpieczenia, w tym uchwalenie kluczowych przepisów dotyczących cyberbezpieczeństwa. Planowane środki mają na celu wprowadzenie surowszych wymogów dotyczących zarządzania ryzykiem, ochrony systemów informatycznych (IT) i operacyjnych (OT) oraz postępowania w przypadku incydentów cybernetycznych wpływających na usługi o znaczeniu krytycznym.

Symboliczna data z historycznym rezonansem

Moment tej aktywności miał szczególne znaczenie. Próba włamania do polskiej sieci elektroenergetycznej zbiegła się z dziesiątą rocznicą przełomowego ataku Sandworma na ukraińską sieć energetyczną w grudniu 2015 roku. Wcześniejsza kampania wykorzystała złośliwe oprogramowanie BlackEnergy do wdrożenia destrukcyjnego komponentu o nazwie KillDisk, który powodował przerwy w dostawie prądu trwające od czterech do sześciu godzin i pozbawiał około 230 000 mieszkańców obwodu iwanofrankiwskiego prądu.

Dekada nieustannych zakłóceń

Sandworm ma długą historię ataków na infrastrukturę krytyczną, szczególnie na Ukrainie. Dziesięć lat po awarii zasilania w 2015 roku grupa nadal realizuje przełomowe cele w wielu sektorach.

W czerwcu 2025 roku badacze ujawnili, że ukraińska organizacja infrastruktury krytycznej padła ofiarą nieznanego wcześniej złośliwego oprogramowania czyszczącego dane o nazwie PathWiper, które wykazywało podobieństwo funkcjonalne do HermeticWiper, innego narzędzia powiązanego z Sandwormem. W tym samym roku zaobserwowano również, że grupa wdrażała w sieci ukraińskiego uniwersytetu kolejne destrukcyjne rodziny złośliwego oprogramowania, w tym ZEROLOT i Sting, a następnie, między czerwcem a wrześniem 2025 roku, nastąpiła szersza fala ataków polegających na czyszczeniu danych na ukraińskie podmioty z sektora rządowego, energetycznego, logistycznego i zbożowego.

Strategiczne implikacje dla obronności sektora energetycznego

Próba włamania do polskiego ekosystemu energetycznego potwierdza ocenę, że Sandworm nadal koncentruje się na operacjach cybernetycznych, które mogą mieć konsekwencje dla świata fizycznego. Pojawienie się DynoWipera, wraz z rosnącym katalogiem programów typu wiper, uwydatnia ciągłą ewolucję destrukcyjnego złośliwego oprogramowania i podkreśla pilną potrzebę wzmocnienia przez dostawców energii odporności, monitorowania i skoordynowanych mechanizmów reagowania w środowiskach IT i OT.

Popularne

Konserwacja w celu poprawy wydajności serwera...

Phishing, Spam
Zachowanie czujności w przypadku nieoczekiwanych wiadomości e-mail jest kluczowe. Cyberprzestępcy rutynowo podszywają się pod dostawców usług i zaufane platformy, aby manipulować odbiorcami i nakłonić ich do ujawnienia poufnych informacji. E-maile z hasłem „Konserwacja w celu poprawy wydajności serwera” są wyraźnym przykładem tej taktyki. Wiadomości te nie są powiązane z żadnymi legalnymi...

Najczęściej oglądane

Ładowanie...