มัลแวร์ DynoWiper
ในสัปดาห์สุดท้ายของเดือนธันวาคม ปี 2025 กลุ่มแฮ็กเกอร์สัญชาติรัสเซียที่รู้จักกันในชื่อ Sandworm ถูกกล่าวหาว่าเป็นผู้ก่อเหตุโจมตีทางไซเบอร์ครั้งใหญ่ที่สุดเท่าที่เคยเกิดขึ้นกับระบบไฟฟ้าของโปแลนด์ เหตุการณ์ดังกล่าวเกิดขึ้นในช่วงปลายปี และทางการของประเทศได้ออกมายอมรับอย่างเป็นทางการว่าเป็นเหตุการณ์โจมตีโครงสร้างพื้นฐานด้านพลังงานของประเทศที่รุนแรงที่สุดในรอบหลายปี
แม้ว่าปฏิบัติการดังกล่าวจะมีขนาดใหญ่และซับซ้อน แต่การโจมตีก็ไม่ประสบความสำเร็จ รัฐมนตรีว่าการกระทรวงพลังงานของโปแลนด์ มิโลสซ์ โมติกา ยืนยันว่าไม่มีผลกระทบต่อระบบไฟฟ้าแต่อย่างใด
สารบัญ
โครงสร้างพื้นฐานที่สำคัญตกอยู่ภายใต้การโจมตีทางดิจิทัลโดยตรง
การโจมตีที่ตรวจพบเมื่อวันที่ 29 และ 30 ธันวาคม 2025 มุ่งเป้าไปที่โรงไฟฟ้าพลังงานความร้อนร่วม (CHP) สองแห่ง และระบบที่รับผิดชอบในการจัดการไฟฟ้าที่ผลิตจากแหล่งพลังงานหมุนเวียน รวมถึงกังหันลมและฟาร์มเซลล์แสงอาทิตย์ กองกำลังไซเบอร์ของกองทัพระบุว่ากิจกรรมดังกล่าวเป็นการโจมตีทางไซเบอร์ที่เป็นปรปักษ์ต่อโครงสร้างพื้นฐานด้านพลังงานของโปแลนด์ที่รุนแรงที่สุดในรอบหลายปีที่ผ่านมา
นักวิจัยที่วิเคราะห์เหตุการณ์รายงานว่า ไม่พบหลักฐานใด ๆ ที่บ่งชี้ว่าการพยายามก่อวินาศกรรมดังกล่าวส่งผลกระทบต่อการปฏิบัติงานแต่อย่างใด
DynoWiper ปรากฏตัวขึ้นในฐานะเครื่องมือทำลายล้างรูปแบบใหม่
จากรายงานล่าสุดที่เผยแพร่โดยผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล ระบุว่าปฏิบัติการนี้เกี่ยวข้องกับมัลแวร์ล้างข้อมูลที่ไม่เคยมีการบันทึกมาก่อนชื่อ DynoWiper ซึ่งมีชื่อเรียกอีกอย่างว่า Win32/KillFiles.NMO การระบุว่า Sandworm เป็นผู้กระทำนั้นมาจากการที่มีลักษณะทางเทคนิคและพฤติกรรมคล้ายคลึงกับแคมเปญทำลายล้างก่อนหน้านี้ที่เชื่อมโยงกับศัตรูรายเดียวกัน โดยเฉพาะอย่างยิ่งแคมเปญที่ดำเนินการหลังจากการรุกรานยูเครนอย่างเต็มรูปแบบของรัสเซียในเดือนกุมภาพันธ์ 2022
อุปกรณ์ปัดน้ำฝนถูกนำมาใช้เป็นส่วนหนึ่งของความพยายามที่ประสานงานกันเพื่อก่อกวนภาคพลังงานของโปแลนด์ ซึ่งบ่งชี้ถึงการลงทุนอย่างต่อเนื่องของผู้ก่อภัยคุกคามในเครื่องมือที่ออกแบบมาโดยเฉพาะเพื่อการก่อวินาศกรรมโครงสร้างพื้นฐาน
การตอบสนองของรัฐบาลและมาตรการควบคุมทางกฎหมาย
ทางการโปแลนด์ระบุว่า ตัวชี้วัดทั้งหมดชี้ไปยังกลุ่มที่เชื่อมโยงโดยตรงกับบริการของรัสเซีย เพื่อตอบสนองต่อเรื่องนี้ รัฐบาลกำลังเตรียมมาตรการป้องกันเพิ่มเติม รวมถึงการปรับปรุงกฎหมายความมั่นคงทางไซเบอร์ที่สำคัญ มาตรการที่วางแผนไว้คาดว่าจะกำหนดข้อกำหนดที่เข้มงวดมากขึ้นสำหรับการจัดการความเสี่ยง การปกป้องทั้งระบบเทคโนโลยีสารสนเทศ (IT) และเทคโนโลยีการปฏิบัติงาน (OT) และการจัดการเหตุการณ์ทางไซเบอร์ที่ส่งผลกระทบต่อบริการที่สำคัญ
วันที่สำคัญเชิงสัญลักษณ์ซึ่งมีความหมายทางประวัติศาสตร์
จังหวะเวลาของการกระทำดังกล่าวมีความสำคัญเป็นพิเศษ ความพยายามบุกรุกระบบไฟฟ้าของโปแลนด์เกิดขึ้นพร้อมกับวันครบรอบ 10 ปีของการโจมตีครั้งสำคัญของ Sandworm ต่อระบบไฟฟ้าของยูเครนในเดือนธันวาคม 2015 การโจมตีครั้งก่อนนั้นใช้มัลแวร์ BlackEnergy ในการติดตั้งส่วนประกอบทำลายล้างที่เรียกว่า KillDisk ทำให้เกิดไฟฟ้าดับนาน 4-6 ชั่วโมง และทำให้ประชาชนประมาณ 230,000 คนในภูมิภาคอีวาโน-ฟรังคิฟสค์ไม่มีไฟฟ้าใช้
ทศวรรษแห่งการหยุดชะงักอย่างต่อเนื่อง
กลุ่ม Sandworm มีประวัติการโจมตีโครงสร้างพื้นฐานที่สำคัญมายาวนาน โดยเฉพาะอย่างยิ่งในยูเครน สิบปีหลังจากเหตุการณ์ไฟฟ้าดับครั้งใหญ่ในปี 2015 กลุ่มนี้ยังคงดำเนินแผนการก่อกวนในหลายภาคส่วนต่อไป
ในเดือนมิถุนายน ปี 2025 นักวิจัยเปิดเผยว่าองค์กรโครงสร้างพื้นฐานที่สำคัญของยูเครนถูกโจมตีด้วยมัลแวร์ลบข้อมูลที่ไม่เคยพบมาก่อนชื่อ PathWiper ซึ่งมีลักษณะการทำงานคล้ายกับ HermeticWiper ซึ่งเป็นเครื่องมืออีกตัวหนึ่งที่เกี่ยวข้องกับ Sandworm ในปีเดียวกันนั้น ยังพบว่ากลุ่มดังกล่าวได้ใช้มัลแวร์ทำลายล้างตระกูลอื่นๆ เพิ่มเติม รวมถึง ZEROLOT และ Sting ในเครือข่ายมหาวิทยาลัยแห่งหนึ่งในยูเครน ตามมาด้วยการโจมตีลบข้อมูลในวงกว้างต่อหน่วยงานภาครัฐ พลังงาน โลจิสติกส์ และภาคเกษตรกรรมของยูเครนระหว่างเดือนมิถุนายนถึงกันยายน ปี 2025
นัยสำคัญเชิงกลยุทธ์สำหรับการป้องกันภาคพลังงาน
ความพยายามบุกรุกเข้าไปในระบบนิเวศพลังงานของโปแลนด์ตอกย้ำการประเมินที่ว่า Sandworm ยังคงมุ่งเน้นไปที่ปฏิบัติการทางไซเบอร์ที่สามารถก่อให้เกิดผลกระทบในโลกแห่งความเป็นจริงได้ การปรากฏตัวของ DynoWiper ควบคู่ไปกับโปรแกรมทำลายข้อมูลอื่นๆ ที่เพิ่มมากขึ้น เน้นย้ำถึงวิวัฒนาการอย่างต่อเนื่องของมัลแวร์ทำลายล้าง และเน้นย้ำถึงความเร่งด่วนสำหรับผู้ให้บริการด้านพลังงานในการเสริมสร้างความยืดหยุ่น การตรวจสอบ และกลไกการตอบสนองที่ประสานงานกันทั้งในสภาพแวดล้อมด้านไอทีและโอที
