Phần mềm độc hại DynoWiper
Vào tuần cuối cùng của tháng 12 năm 2025, nhóm tin tặc nhà nước Nga, được biết đến rộng rãi với tên gọi Sandworm, bị cáo buộc thực hiện vụ tấn công mạng lớn nhất từng được ghi nhận nhằm vào hệ thống điện của Ba Lan. Vụ việc diễn ra trong những ngày cuối năm và được chính quyền quốc gia công khai thừa nhận là cuộc tấn công dữ dội nhất vào cơ sở hạ tầng năng lượng của đất nước trong nhiều năm.
Mặc dù quy mô và mức độ tinh vi của vụ tấn công, nó đã không thành công. Bộ trưởng Năng lượng Ba Lan, Milosz Motyka, xác nhận rằng không có sự gián đoạn nào đối với nguồn cung cấp điện.
Mục lục
Cơ sở hạ tầng trọng yếu đang hứng chịu hỏa lực kỹ thuật số trực tiếp.
Các cuộc tấn công, được phát hiện vào ngày 29 và 30 tháng 12 năm 2025, nhắm vào hai nhà máy nhiệt điện kết hợp (CHP) và một hệ thống chịu trách nhiệm quản lý điện năng được sản xuất từ các nguồn năng lượng tái tạo, bao gồm tua bin gió và các trang trại quang điện. Lực lượng an ninh mạng quân sự mô tả hoạt động này là chiến dịch tấn công mạng thù địch mạnh nhất nhằm vào cơ sở hạ tầng năng lượng của Ba Lan trong thời gian gần đây.
Các nhà nghiên cứu phân tích vụ việc cho biết không có bằng chứng nào cho thấy nỗ lực phá hoại này đạt được bất kỳ tác động nào về mặt hoạt động.
DynoWiper nổi lên như một công cụ phá hoại mới.
Theo một báo cáo mới được công bố bởi các chuyên gia an ninh thông tin, chiến dịch này liên quan đến một phần mềm độc hại xóa dữ liệu chưa từng được ghi nhận trước đây có tên DynoWiper, cũng được theo dõi với tên Win32/KillFiles.NMO. Việc quy kết cho Sandworm dựa trên sự trùng khớp về kỹ thuật và hành vi với các chiến dịch phá hoại trước đó có liên quan đến cùng một đối thủ, đặc biệt là những chiến dịch được thực hiện sau cuộc xâm lược toàn diện của Nga vào Ukraine hồi tháng 2 năm 2022.
Thiết bị gạt nước được triển khai như một phần của nỗ lực phối hợp nhằm làm gián đoạn ngành năng lượng của Ba Lan, báo hiệu sự đầu tư liên tục của nhóm tin tặc vào các công cụ chuyên dụng được thiết kế để phá hoại cơ sở hạ tầng.
Phản ứng của Chính phủ và các Biện pháp Đối phó về Quy định
Giới chức Ba Lan tuyên bố rằng tất cả các dấu hiệu đều chỉ ra các nhóm có liên hệ trực tiếp với các dịch vụ của Nga. Để đối phó, chính phủ đang chuẩn bị các biện pháp bảo vệ bổ sung, bao gồm việc thúc đẩy các luật an ninh mạng quan trọng. Các biện pháp dự kiến sẽ áp đặt các yêu cầu nghiêm ngặt hơn đối với quản lý rủi ro, bảo vệ cả hệ thống công nghệ thông tin (IT) và công nghệ vận hành (OT), cũng như xử lý các sự cố mạng ảnh hưởng đến các dịch vụ trọng yếu.
Một ngày mang tính biểu tượng với âm hưởng lịch sử.
Thời điểm diễn ra hoạt động này mang ý nghĩa đặc biệt. Vụ tấn công nhằm vào lưới điện Ba Lan trùng với kỷ niệm 10 năm cuộc tấn công mang tính bước ngoặt của Sandworm vào lưới điện Ukraine hồi tháng 12 năm 2015. Chiến dịch trước đó đã sử dụng phần mềm độc hại BlackEnergy để triển khai một thành phần phá hoại có tên KillDisk, gây ra tình trạng mất điện kéo dài từ bốn đến sáu giờ và khiến khoảng 230.000 cư dân ở vùng Ivano-Frankivsk không có điện.
Một thập kỷ của sự gián đoạn dai dẳng
Sandworm có lịch sử lâu dài trong việc nhắm mục tiêu vào cơ sở hạ tầng trọng yếu, đáng chú ý nhất là ở Ukraine. Mười năm sau sự cố mất điện năm 2015, nhóm này vẫn tiếp tục theo đuổi các mục tiêu gây rối trên nhiều lĩnh vực.
Vào tháng 6 năm 2025, các nhà nghiên cứu tiết lộ rằng một tổ chức cơ sở hạ tầng trọng yếu của Ukraine đã bị tấn công bởi một phần mềm độc hại xóa dữ liệu chưa từng thấy trước đây có tên PathWiper, cho thấy những điểm tương đồng về chức năng với HermeticWiper, một công cụ khác liên quan đến Sandworm. Trong cùng năm đó, nhóm này cũng được quan sát thấy triển khai thêm các họ phần mềm độc hại phá hoại khác, bao gồm ZEROLOT và Sting, trong mạng lưới của một trường đại học Ukraine, tiếp theo là một làn sóng tấn công xóa dữ liệu rộng hơn nhằm vào các thực thể thuộc chính phủ, năng lượng, hậu cần và ngành ngũ cốc của Ukraine từ tháng 6 đến tháng 9 năm 2025.
Ý nghĩa chiến lược đối với quốc phòng trong lĩnh vực năng lượng
Vụ tấn công nhằm xâm nhập vào hệ sinh thái điện lực của Ba Lan củng cố nhận định rằng Sandworm vẫn tập trung vào các hoạt động mạng có khả năng gây ra hậu quả trong thế giới vật lý. Sự xuất hiện của DynoWiper, cùng với một danh mục ngày càng tăng các phần mềm xóa dữ liệu, cho thấy sự phát triển không ngừng của phần mềm độc hại mang tính phá hoại và nhấn mạnh tính cấp thiết đối với các nhà cung cấp năng lượng trong việc tăng cường khả năng phục hồi, giám sát và các cơ chế phản ứng phối hợp trên cả môi trường CNTT và OT.
