Шкідливе програмне забезпечення DynoWiper
В останній тиждень грудня 2025 року російську хакерську групу, широко відому як Sandworm, було приписано до того, що було названо найбільшою спробою кібератаки, коли-небудь зареєстрованою проти польської енергосистеми. Інцидент розгорнувся в останні дні року та був публічно визнаний національною владою найінтенсивнішим нападом на енергетичну інфраструктуру країни за останні роки.
Незважаючи на масштабність та складність операції, атака була невдалою. Міністр енергетики Польщі Мілош Мотика підтвердив, що жодних перебоїв у постачанні електроенергії не спостерігалося.
Зміст
Критична інфраструктура під прямим цифровим вогнем
Атаки, виявлені 29 та 30 грудня 2025 року, були спрямовані на дві теплоелектроцентралі (ТЕЦ) та на систему, відповідальну за управління електроенергією, виробленою з відновлюваних джерел, включаючи вітрові турбіни та фотоелектричні електростанції. Військові кібервійськові сили охарактеризували цю діяльність як найсильнішу ворожу кіберкампанію проти польської енергетичної інфраструктури за останній час.
Дослідники, які аналізували інцидент, не повідомили про жодні докази того, що спроба саботажу мала якийсь операційний вплив.
DynoWiper з'являється як новий руйнівний інструмент
Згідно з нещодавно опублікованим звітом фахівців з інформаційної безпеки, операція була пов'язана з раніше недокументованим шкідливим програмним забезпеченням для стирання даних під назвою DynoWiper, яке також відстежувалося як Win32/KillFiles.NMO. Приписування Sandworm базується на технічних та поведінкових збігах з попередніми руйнівними кампаніями, пов'язаними з тим самим противником, зокрема тими, що проводилися після повномасштабного вторгнення Росії в Україну в лютому 2022 року.
Склоочисник було застосовано в рамках скоординованої спроби порушити роботу енергетичного сектору Польщі, що сигналізує про продовження інвестицій зловмисника у спеціально створені інструменти, призначені для саботажу інфраструктури.
Реагування уряду та регуляторні контрзаходи
Польська влада заявила, що всі показники вказують на групи, безпосередньо пов'язані з російськими службами. У відповідь уряд готує додаткові запобіжні заходи, включаючи вдосконалення ключового законодавства з кібербезпеки. Очікується, що заплановані заходи встановлять суворіші вимоги до управління ризиками, захисту як інформаційно-технологічних (ІТ), так і операційно-технологічних (ОТ) систем, а також до реагування на кіберінциденти, що впливають на критично важливі служби.
Символічна дата з історичним резонансом
Особливе значення мав час цієї дії. Спроба вторгнення в польську мережу збіглася з десятою річницею знакової атаки Sandworm на енергосистему України у грудні 2015 року. У цій попередній кампанії було використано шкідливе програмне забезпечення BlackEnergy для розгортання руйнівного компонента, відомого як KillDisk, що спричинило відключення електроенергії тривалістю від чотирьох до шести годин та залишило без електроенергії приблизно 230 000 жителів Івано-Франківської області.
Десятиліття постійних руйнувань
«Сендчорм» має довгий досвід нападів на критично важливу інфраструктуру, особливо в Україні. Через десять років після відключення електроенергії 2015 року група продовжує переслідувати руйнівні цілі в багатьох секторах.
У червні 2025 року дослідники повідомили, що українська організація критичної інфраструктури постраждала від раніше небаченого шкідливого програмного забезпечення для видалення даних під назвою PathWiper, яке мало функціональну схожість з HermeticWiper, ще одним інструментом, пов'язаним із Sandworm. Протягом того ж року було також помічено, що група розгортала додаткові сімейства руйнівних шкідливих програм, включаючи ZEROLOT та Sting, в мережі українського університету, після чого в період з червня по вересень 2025 року відбулася ширша хвиля атак на урядові, енергетичні, логістичні та зернові підприємства України, спрямованих на видалення даних.
Стратегічні наслідки для оборони енергетичного сектору
Спроба вторгнення в енергетичну екосистему Польщі підтверджує думку про те, що Sandworm, як і раніше, зосереджений на кіберопераціях, здатних призвести до фізичних наслідків. Поява DynoWiper, поряд зі зростаючим каталогом склоочисників, свідчить про постійну еволюцію руйнівного шкідливого програмного забезпечення та підкреслює нагальність для постачальників енергії посилення стійкості, моніторингу та скоординованих механізмів реагування як в ІТ-середовищі, так і в ОТ-середовищі.
