În ultima săptămână din decembrie 2025, sistemul energetic al Poloniei a fost vizat de un atac cibernetic atribuit grupării rusești Sandworm, care a lansat un malware distructiv de tip wiper.
Incidentul este descris ca fiind „cel mai mare atac cibernetic” asupra sectorului energetic polonez din ultimii ani, dar nu au fost confirmate întreruperi ale furnizării de energie.
Atacul Sandworm asupra infrastructurii energetice a Poloniei a fost unul coordonat, orientat spre compromiterea sistemelor critice și ștergerea de date.
Experții de la firma de securitate cibernetică ESET spun că atacul este cel mai sever asupra sectorului energetic polonez din ultimii ani, din perspectiva amplitudinii și a țintirii directe a sistemelor energetice.
DynoWiper: noul malware de ștergere a datelor
ESET a identificat și denumit malware-ul folosit în atac DynoWiper, conceput special pentru a șterge fișiere de pe sistemele compromise.
DynoWiper se încadrează în familia de data wipers, create pentru a distruge permanent informația stocată prin suprascriere cu informație aleatorie.
Astfel de wipere sunt utilizate în mod tipic de actori statali pentru sabotaj și generarea de indisponibilitate, nu pentru extorcare financiară, ceea ce le face deosebit de relevante pentru securitatea infrastructurilor critice.
Investigația ESET atribuie atacul grupării rusești Sandworm (APT44), un actor avansat persistent (APT) cunoscut pentru operațiuni destructiv-disruptive împotriva infrastructurilor critice, în special în Ucraina.
Atribuirea este formulată cu „încredere medie” și se bazează pe o suprapunere semnificativă între malware-ul folosit, tehnicile, tacticile și procedurile observate, și activități anterioare de tip wiper asociate Sandworm.
Gruparea este cunoscută sub mai multe denumiri (Electrum, Seashell Blizzard, Voodoo Bear, BlackEnergy) și este asociată cu serviciile de inteligență militare rusești (Glavnoye Razvedyvatelnoye Upravlenie – GRU) controlate de ministerul de externe.
Context istoric
Incidentul provocat de Sandworm din Polonia a avut loc la împlinirea a 10 ani de la atacul orchestrat de acceeași grupare asupra rețelei electrice din Ucraina, din decembrie 2015, primul blackout major provocat de malware la scară largă.
În 2015, Sandworm a utilizat malware-ul BlackEnergy pentru a obține acces la sisteme critice din mai multe substații electrice ucrainene, lăsând fără electricitate aproximativ 230.000 de persoane timp de câteva ore.
La un deceniu distanță, cercetătorii ESET notează că Sandworm continuă să vizeze entități din sectoare de infrastructură critică, în special în Ucraina, unde au fost observate în mod regulat atacuri de tip wiper între aprilie și septembrie 2025, inclusiv asupra industriei de grâu.
Deși ESET nu a confirmat până acum întreruperi de furnizare cauzate de atacul din Polonia, utilizarea unui wiper orientat spre infrastructura energetică evidențiază persistența riscului operațional pentru operatorii de rețele.
Publicarea indicatorilor de compromitere pentru DynoWiper oferă operatorilor de infrastructură critică și echipelor de securitate un punct de plecare pentru detecție, vânătoare de amenințări și actualizarea controalelor de protecție în medii similare.
