Atak na elektrociepłownię w Polsce: ESET analizuje DynoWipera i tropy prowadzące do Sandworm

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online
  • Jak przestawia w swoim raporcie CERT Polska, 29 grudnia 2025 roku w godzinach porannych oraz popołudniowych doszło do skoordynowanych ataków w polskiej cyberprzestrzeni. Były one wymierzone w farmy wiatrowe i fotowoltaiczne, spółkę prywatną z sektora produkcyjnego oraz w dużą elektrociepłownię. ESET przedstawia raport, w którym analizuje atak na elektrociepłownię.
  • Analitycy ESET zidentyfikowali nowy malware typu wiper, któremu nadano nazwę DynoWiper. Został on wykorzystany w ataku wymierzonym w przedsiębiorstwo energetyczne w Polsce.
  • Taktyki, techniki i procedury (TTP) zaobserwowane podczas incydentu z użyciem DynoWipera wykazują bliskie podobieństwo do tych odnotowanych wcześniej w Ukrainie przy okazji operacji z użyciem innego wipera – ZOV.
  • ESET Research przypisuje DynoWipera powiązanej z Rosją grupie Sandworm z umiarkowanym poziomem pewności (medium confidence).
  • Incydent ten stanowi rzadki i dotychczas nieopisywany przypadek, w którym powiązany z Rosją podmiot przeprowadził operację z użyciem malware’u typu wiper przeciwko firmie z sektora energetycznego w Polsce.

Analitycy ESET zidentyfikowali nowy malware typu wiper, któremu nadano nazwę DynoWiper. Oprogramowanie to zostało wykorzystane przeciwko przedsiębiorstwu z sektora energetycznego w Polsce. Taktyki, techniki i procedury (TTP) zaobserwowane podczas incydentu z użyciem DynoWipera wykazują bliskie podobieństwo do wcześniejszej operacji przeprowadzonej w Ukrainie z wykorzystaniem wipera ZOV (Z, O oraz V to symbole rosyjskiej armii). ESET Research przypisuje DynoWipera powiązanej z Rosją grupie Sandworm z umiarkowanym poziomem pewności (medium confidence).

Opisywany incydent to rzadki i dotychczas nieudokumentowany przypadek, w którym powiązany z Rosją podmiot wykorzystał malware typu wiper przeciwko przedsiębiorstwu energetycznemu w Polsce. W 2025 roku analitycy ESET badali ponad 10 incydentów z użyciem oprogramowania o charakterze niszczącym przypisywanego grupie Sandworm, z których niemal wszystkie miały miejsce w Ukrainie.

Zainstalowane w infrastrukturze rozwiązanie EDR/XDR – ESET PROTECT – zablokowało uruchomienie wipera, co znacząco ograniczyło skutki ataku w środowisku ofiary. Zespół CERT Polska przeprowadził rzetelne dochodzenie w sprawie tego incydentu i opublikował szczegółową analizę w raporcie dostępnym na swojej stronie internetowej.

29 grudnia 2025 roku próbki DynoWipera zostały umieszczone w folderze będącym prawdopodobnie zasobem udostępnionym w domenie ofiary. Możliwe, że operatorzy grupy Sandworm najpierw przetestowali operację na maszynach wirtualnych, zanim zdecydowali się na użycie malware’u w organizacji będącej celem ataku. Próbowano zainstalować trzy różne próbki i wszystkie te próby zakończyły się niepowodzeniem. Wiper nadpisuje pliki za pomocą 16-bajtowego bufora zawierającego losowe dane, generowane jednorazowo przy uruchomieniu oprogramowania. Na niezabezpieczonej maszynie pliki o rozmiarze 16 bajtów lub mniejsze są nadpisywane w całości. Aby przyspieszyć proces niszczenia danych, w plikach większych niż 16 bajtów nadpisywane są tylko niektóre fragmenty ich zawartości. DynoWiper czyści dane na wszystkich dyskach wymiennych i stałych, a na koniec wymusza restart systemu, co finalizuje proces destrukcji środowiska.

W przeciwieństwie do innych rodzajów malware’u grupy Sandworm, takich jak Industroyer czy Industroyer2, nowo odkryte próbki DynoWipera koncentrują się wyłącznie na środowisku IT. Nie zaobserwowano w nich funkcjonalności wymierzonych w komponenty przemysłowe technologii operacyjnej (OT). Nie wyklucza to jednak możliwości, że tego typu zdolności były obecne w innym miejscu łańcucha ataku.

Analitycy ESET Research zidentyfikowali szereg podobieństw do znanych wcześniej rodzajów malware’u o charakterze niszczącym, a w szczególności do wipera ZOV, którego ESET z wysokim poziomem pewności (high confidence) przypisuje grupie Sandworm. DynoWiper działa w sposób zbliżony do wipera ZOV. Na szczególną uwagę zasługuje fakt, że wykluczenia niektórych katalogów, a zwłaszcza wyraźnie oddzielona logika nadpisywania mniejszych i większych plików, są cechami obecnymi również w kodzie wipera ZOV.

ZOV to malware niszczący dane, którego użycie wykryto w listopadzie 2025 roku podczas ataku na instytucję finansową w Ukrainie. Po uruchomieniu wiper ZOV przeszukuje pliki na wszystkich dyskach stałych i niszczy je poprzez nadpisywanie ich zawartości. Inny przypadek użycia wipera ZOV odnotowano w ukraińskiej spółce energetycznej, gdzie atakujący uruchomili to oprogramowanie 25 stycznia 2024 roku.

Sandworm to powiązana z Rosją grupa APT przeprowadzająca operacje niszczące, wymierzone w szerokie spektrum podmiotów, w tym agencje rządowe, firmy logistyczne i transportowe, dostawców energii, organizacje medialne, przedsiębiorstwa z sektora zbożowego oraz operatorów telekomunikacyjnych. Ataki te zazwyczaj wiążą się z użyciem wiperów – malware’u zaprojektowanego do usuwania plików i danych oraz doprowadzania systemów do stanu uniemożliwiającego ich rozruch.

Poza Ukrainą, grupa ta od dekady bierze na cel firmy w Polsce, w tym podmioty z sektora energetycznego. W październiku 2022 roku przeprowadziła ona operację niszczącą wymierzoną w przedsiębiorstwa logistyczne w Ukrainie i Polsce, maskując swoje działania pod pozorem incydentu z użyciem ransomware Prestige. Ponieważ obecnie większość cyberataków grupy Sandworm koncentruje się na Ukrainie, analitycy ESET ściśle współpracują z ukraińskimi partnerami, w tym z zespołem CERT-UA, wspierając działania w zakresie prewencji oraz usuwania skutków incydentów.

Tapeta systemowa umieszczana w zainfekowanych systemach przez wiper ZOV
Tapeta systemowa umieszczana w zainfekowanych systemach przez wiper ZOV
Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...
Wiadomości

UODO: właściciel kamery nie może bez podstawy nagrywać sąsiadów i przechodniów

Osoba, która nie wykonała nakazu Prezesa Urzędu Ochrony Danych...

UODO chce szybszego usuwania deepfake’ów i danych wykradzionych w cyberatakach

Prezes Urzędu Ochrony Danych Osobowych pozytywnie ocenia uwzględnienie przez...

Baker McKenzie: Nowe przepisy o cyberbezpieczeństwie wyzwaniem dla wielu firm energetycznych w Polsce

Nowa unijna dyrektywa NIS2 zwiększająca poziom cyberbezpieczeństwa w infrastrukturze...

Kancelaria podatkowa ukarana za przejęte konto e-mail. Prezes UODO nałożył ponad 11 tys. zł kary

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę...

Od ochrony systemów do zarządzania ryzykiem. Tak ewoluuje rola CISO

Jeszcze kilka lat temu niewiele polskich przedsiębiorstw posiadało w...

Nowy atak przejmuje konta Microsoft 365 bez kradzieży hasła

Analitycy ESET ostrzegają przed nowym rodzajem phishingu, który tylko...

DeepSeek wskazał sposób na atak przez legalną funkcję przeglądarki

Nie potrzeba już exploita, złośliwego załącznika ani instalacji podejrzanej...

Magdalena Sobkowiak-Czarnecka nowym pełnomocnikiem rządu ds. odporności państwa

Magdalena Sobkowiak-Czarnecka zostanie Pełnomocnikiem Rządu do spraw Wzmocnienia Odporności...
Coś dla Ciebie

Wybrane kategorie