DynoWiper Kötü Amaçlı Yazılımı
Aralık 2025'in son haftasında, Sandworm olarak bilinen Rus devlet destekli siber saldırı grubu, Polonya'nın enerji sistemine karşı kaydedilen en büyük siber saldırı girişiminden sorumlu tutuldu. Yılın son günlerinde gerçekleşen olay, ulusal yetkililer tarafından ülkenin enerji altyapısına yıllardır yapılan en yoğun saldırı olarak kamuoyuna açıklandı.
Operasyonun büyüklüğüne ve karmaşıklığına rağmen saldırı başarısız oldu. Polonya Enerji Bakanı Milosz Motyka, elektrik tedarikinde herhangi bir aksama gözlemlenmediğini doğruladı.
İçindekiler
Kritik Altyapı Doğrudan Dijital Saldırı Altında
29 ve 30 Aralık 2025 tarihlerinde tespit edilen saldırılar, iki kojenerasyon santralini ve rüzgar türbinleri ve fotovoltaik santraller de dahil olmak üzere yenilenebilir kaynaklardan üretilen elektriği yönetmekten sorumlu bir sistemi hedef aldı. Askeri siber güçler, bu faaliyeti son zamanların Polonya enerji altyapısına karşı en güçlü düşmanca siber saldırısı olarak nitelendirdi.
Olayı inceleyen araştırmacılar, sabotaj girişiminin operasyonel açıdan herhangi bir etki yarattığına dair hiçbir kanıt bulamadılar.
DynoWiper Yeni Bir Yıkıcı Alet Olarak Ortaya Çıkıyor
Bilgi güvenliği uzmanları tarafından yayınlanan yeni bir rapora göre, operasyonda daha önce belgelenmemiş DynoWiper adlı bir silme kötü amaçlı yazılımı kullanıldı; bu yazılım Win32/KillFiles.NMO olarak da izleniyor. Sandworm'a atfedilmesi, özellikle Şubat 2022'de Rusya'nın Ukrayna'yı tamamen işgal etmesinden sonra gerçekleştirilenler olmak üzere, aynı düşmanla bağlantılı önceki yıkıcı kampanyalarla teknik ve davranışsal örtüşmelere dayanmaktadır.
Söz konusu siber saldırı düzeneği, Polonya'nın enerji sektörünü sekteye uğratmaya yönelik koordineli bir girişimin parçası olarak konuşlandırıldı ve bu durum, tehdit aktörünün altyapı sabotajı için özel olarak tasarlanmış araçlara yaptığı yatırımların devam ettiğini gösteriyor.
Hükümetin Tepkisi ve Düzenleyici Karşı Önlemler
Polonya yetkilileri, tüm göstergelerin doğrudan Rus servisleriyle bağlantılı gruplara işaret ettiğini belirtti. Buna karşılık hükümet, önemli siber güvenlik mevzuatının geliştirilmesi de dahil olmak üzere ek önlemler hazırlıyor. Planlanan önlemlerin, risk yönetimi, hem bilgi teknolojisi (BT) hem de operasyonel teknoloji (OT) sistemlerinin korunması ve kritik hizmetleri etkileyen siber olayların ele alınması konusunda daha katı şartlar getirmesi bekleniyor.
Tarihsel Yankı Taşıyan Sembolik Bir Tarih
Bu faaliyetin zamanlaması özellikle önemliydi. Polonya'daki şebekeye yönelik bu sızma girişimi, Sandworm'un Aralık 2015'te Ukrayna'nın elektrik şebekesine yaptığı tarihi saldırının onuncu yıldönümüne denk geldi. Bu önceki kampanyada, KillDisk olarak bilinen yıkıcı bir bileşen devreye sokularak dört ila altı saat süren elektrik kesintilerine yol açılmış ve İvano-Frankivsk bölgesinde yaklaşık 230.000 kişi elektriksiz kalmıştı.
On Yıllık Sürekli Kesinti
Sandworm, özellikle Ukrayna'da olmak üzere, kritik altyapıları hedef alma konusunda uzun bir geçmişe sahip. 2015'teki elektrik kesintisinin üzerinden on yıl geçmesine rağmen, grup birçok sektörde yıkıcı hedeflerini sürdürmeye devam ediyor.
Haziran 2025'te araştırmacılar, Ukrayna'daki kritik altyapı kuruluşlarından birinin, daha önce görülmemiş ve Sandworm ile ilişkili bir diğer araç olan HermeticWiper'a işlevsel benzerlikler gösteren PathWiper adlı bir veri silme kötü amaçlı yazılımı tarafından saldırıya uğradığını açıkladılar. Aynı yıl içinde, grubun Ukrayna'daki bir üniversite ağında ZEROLOT ve Sting dahil olmak üzere ek yıkıcı kötü amaçlı yazılım ailelerini de yaydığı gözlemlendi; bunu Haziran ve Eylül 2025 arasında Ukrayna hükümeti, enerji, lojistik ve tahıl sektörü kuruluşlarına yönelik daha geniş bir veri silme saldırısı dalgası izledi.
Enerji Sektörü Savunması İçin Stratejik Çıkarımlar
Polonya'nın enerji ekosistemine yönelik sızma girişimi, Sandworm'un fiziksel dünyada sonuçlar doğurabilecek siber operasyonlara odaklanmaya devam ettiği değerlendirmesini güçlendiriyor. DynoWiper'ın ortaya çıkması ve giderek artan sayıda veri silme yazılımının varlığı, yıkıcı kötü amaçlı yazılımların sürekli evrimini vurguluyor ve enerji sağlayıcılarının hem BT hem de OT ortamlarında dayanıklılığı, izlemeyi ve koordineli müdahale mekanizmalarını güçlendirmelerinin aciliyetini ortaya koyuyor.
