Zlonamerna programska oprema DynoWiper
V zadnjem tednu decembra 2025 je bila ruska hekerska skupina, znana kot Sandworm, odgovorna za največji poskus kibernetskega napada na poljski elektroenergetski sistem, kar jih je bilo kdaj zabeleženih. Incident se je zgodil v zadnjih dneh leta in so ga nacionalne oblasti javno priznale kot najintenzivnejši napad na energetsko infrastrukturo države v zadnjih letih.
Kljub obsegu in sofisticiranosti operacije je bil napad neuspešen. Poljski minister za energijo Milosz Motyka je potrdil, da ni bilo opaženih motenj v oskrbi z električno energijo.
Kazalo
Kritična infrastruktura pod neposrednim digitalnim ognjem
Napadi, zaznani 29. in 30. decembra 2025, so bili usmerjeni na dve elektrarni na soproizvodnjo toplote in električne energije (SPTE) in na sistem, odgovoren za upravljanje električne energije, proizvedene iz obnovljivih virov, vključno z vetrnimi turbinami in fotovoltaičnimi elektrarnami. Vojaške sile za kibernetski prostor so dejavnost označile za najmočnejšo sovražno kibernetsko kampanjo proti poljski energetski infrastrukturi v zadnjem času.
Raziskovalci, ki so analizirali incident, niso poročali o nobenih dokazih, da bi poskus sabotaže dosegel kakršen koli operativni učinek.
DynoWiper se pojavlja kot novo uničujoče orodje
Glede na novo objavljeno poročilo strokovnjakov za informacijsko varnost je operacija vključevala prej nedokumentirano zlonamerno programsko opremo za brisače podatkov z imenom DynoWiper, ki jo je bilo mogoče zaslediti tudi kot Win32/KillFiles.NMO. Pripisovanje zlonamerni programski opremi Sandworm temelji na tehničnih in vedenjskih prekrivanjih s prejšnjimi uničujočimi kampanjami, povezanimi z istim nasprotnikom, zlasti tistimi, ki so bile izvedene po obsežni ruski invaziji na Ukrajino februarja 2022.
Brisalec je bil uporabljen kot del usklajenega poskusa motenja poljskega energetskega sektorja, kar kaže na nadaljnje naložbe akterja grožnje v namensko izdelana orodja, zasnovana za sabotažo infrastrukture.
Vladni odziv in regulativni protiukrepi
Poljske oblasti so izjavile, da vsi kazalniki kažejo na skupine, ki so neposredno povezane z ruskimi službami. Vlada se zato odzove s pripravo dodatnih zaščitnih ukrepov, vključno z napredovanjem ključne zakonodaje o kibernetski varnosti. Načrtovani ukrepi naj bi uvedli strožje zahteve za obvladovanje tveganj, zaščito sistemov informacijske tehnologije (IT) in operativne tehnologije (OT) ter ravnanje s kibernetskimi incidenti, ki vplivajo na kritične storitve.
Simbolični datum z zgodovinskim odmevom
Časovna usklajenost dejavnosti je bila še posebej pomembna. Poskus vdora v poljsko omrežje je sovpadal z deseto obletnico prelomnega napada Sandworm na ukrajinsko elektroenergetsko omrežje decembra 2015. V tej prejšnji kampanji so z zlonamerno programsko opremo BlackEnergy namestili uničujočo komponento, znano kot KillDisk, kar je sprožilo izpade električne energije, ki so trajali od štiri do šest ur, in pustilo približno 230.000 prebivalcev Ivano-Frankivske regije brez elektrike.
Desetletje nenehnih motenj
Skupina Sandworm ima dolgo zgodovino napadanja kritične infrastrukture, predvsem v Ukrajini. Deset let po izpadu električne energije leta 2015 skupina še naprej zasleduje moteče cilje v več sektorjih.
Junija 2025 so raziskovalci razkrili, da je ukrajinsko organizacijo za kritično infrastrukturo napadla prej neznana zlonamerna programska oprema za brisanje podatkov, imenovana PathWiper, ki je kazala funkcionalne podobnosti s HermeticWiperjem, še enim orodjem, povezanim s Sandwormom. Istega leta so opazili tudi, da je skupina v ukrajinskem univerzitetnem omrežju nameščala dodatne uničujoče družine zlonamerne programske opreme, vključno z ZEROLOT in Sting, čemur je sledil širši val napadov z brisanjem podatkov na ukrajinsko vlado, energetske subjekte, logistiko in subjekte žitnega sektorja med junijem in septembrom 2025.
Strateške posledice za obrambo energetskega sektorja
Poskus vdora v poljski energetski ekosistem potrjuje oceno, da se Sandworm osredotoča na kibernetske operacije, ki lahko povzročijo posledice v fizičnem svetu. Pojav DynoWiperja, skupaj z naraščajočim katalogom brisalcev, poudarja nenehen razvoj uničujoče zlonamerne programske opreme in poudarja nujnost, da dobavitelji energije okrepijo odpornost, spremljanje in usklajene mehanizme odzivanja tako v IT kot v OT okoljih.
