Вредоносная программа DynoWiper
В последнюю неделю декабря 2025 года российская хакерская группа, известная как Sandworm, совершила, по общему мнению, крупнейшую в истории кибератаку на польскую энергосистему. Инцидент произошел в последние дни года и был публично признан национальными властями как самое интенсивное нападение на энергетическую инфраструктуру страны за последние годы.
Несмотря на масштаб и изощренность операции, атака оказалась неудачной. Министр энергетики Польши Милош Мотыка подтвердил, что перебоев в электроснабжении не наблюдалось.
Оглавление
Критическая инфраструктура под прямым цифровым огнем
Атаки, зафиксированные 29 и 30 декабря 2025 года, были направлены на две теплоэлектростанции и систему управления электроэнергией, вырабатываемой из возобновляемых источников, включая ветряные турбины и фотоэлектрические электростанции. Военные киберподразделения охарактеризовали эту деятельность как самую мощную враждебную киберкампанию против польской энергетической инфраструктуры за последнее время.
Исследователи, анализировавшие инцидент, не обнаружили никаких доказательств того, что попытка саботажа имела какой-либо оперативный эффект.
DynoWiper становится новым разрушительным инструментом.
Согласно недавно опубликованному отчету специалистов по информационной безопасности, в операции использовался ранее не документированный вредоносный код типа «вайпер» под названием DynoWiper, также известный как Win32/KillFiles.NMO. Приписывание операции компании Sandworm основано на техническом и поведенческом совпадении с более ранними деструктивными кампаниями, связанными с тем же противником, в частности, с теми, которые проводились после полномасштабного вторжения России в Украину в феврале 2022 года.
Устройство для взлома было применено в рамках скоординированной попытки подорвать работу энергетического сектора Польши, что свидетельствует о продолжающихся инвестициях со стороны злоумышленника в специализированные инструменты, предназначенные для саботажа инфраструктуры.
Реакция правительства и контрмеры регулирования
Польские власти заявили, что все признаки указывают на группы, напрямую связанные с российскими сервисами. В ответ правительство готовит дополнительные меры защиты, включая продвижение ключевого законодательства в области кибербезопасности. Ожидается, что планируемые меры введут более строгие требования к управлению рисками, защите как информационных технологий (ИТ), так и операционных технологий (ОТ), а также к обработке кибер-инцидентов, затрагивающих критически важные сервисы.
Символическая дата, имеющая историческое значение.
Время проведения этой операции имело особое значение. Попытка взлома польской энергосистемы совпала с десятой годовщиной знаковой атаки Sandworm на украинскую энергосистему в декабре 2015 года. В той более ранней кампании использовалось вредоносное ПО BlackEnergy для развертывания деструктивного компонента, известного как KillDisk, вызывавшего отключения электроэнергии на четыре-шесть часов и оставившего без света около 230 000 жителей Ивано-Франковской области.
Десятилетие непрекращающихся потрясений
Группа Sandworm имеет долгую историю нападений на объекты критической инфраструктуры, в первую очередь в Украине. Спустя десять лет после отключения электроэнергии в 2015 году группа продолжает преследовать деструктивные цели в различных секторах.
В июне 2025 года исследователи сообщили, что украинская организация критической инфраструктуры подверглась атаке ранее неизвестного вредоносного ПО для стирания данных под названием PathWiper, которое имело функциональное сходство с HermeticWiper, другим инструментом, связанным с Sandworm. В том же году было также замечено, что группа развертывала дополнительные семейства вредоносных программ, включая ZEROLOT и Sting, в сети украинского университета, после чего последовала более масштабная волна атак с целью стирания данных против украинских правительственных, энергетических, логистических и зерновых предприятий в период с июня по сентябрь 2025 года.
Стратегические последствия для обороны энергетического сектора
Попытка проникновения в польскую энергетическую систему подтверждает мнение о том, что Sandworm по-прежнему сосредоточен на кибер-операциях, способных привести к последствиям в реальном мире. Появление DynoWiper, наряду с растущим каталогом вредоносных программ, подчеркивает продолжающуюся эволюцию деструктивного вредоносного ПО и указывает на необходимость для поставщиков энергии усилить механизмы устойчивости, мониторинга и скоординированного реагирования как в ИТ, так и в ОТ-средах.
