Sandworms DynoWiper-Malware: Abgewehrter Cyberangriff auf polnisches Stromnetz

Russische APT-Gruppe Sandworm zielt mit DynoWiper-Malware auf polnischen Energiesektor

Die Energieinfrastruktur Polens war Ende Dezember 2025 Ziel eines gescheiterten Cyberangriffs, der von der russischen staatlichen Bedrohungsakteurin Sandworm orchestriert wurde. Der Angriff, den Energieminister Milosz Motyka als den „größten Cyberangriff“ auf das polnische Stromsystem bezeichnete, umfasste den Einsatz einer neuen zerstörerischen Malware-Variante namens DynoWiper. Das Kommando Cyberraumkräfte der polnischen Streitkräfte konnte die Bedrohung erfolgreich erkennen und entschärfen, bevor sie den Betrieb stören konnte.

Technische Details des Angriffs

Obwohl spezifische Indicators of Compromise (IOCs) und eine technische Analyse von DynoWiper noch begrenzt sind, deutet der Name der Malware auf eine Wiper-Funktionalität hin, die darauf ausgelegt ist, Daten zu löschen oder zu beschädigen, anstatt sie zu exfiltrieren. Sandworm, eine Gruppe mit Verbindungen zum russischen militärischen Nachrichtendienst GRU, hat eine Geschichte des Einsatzes zerstörerischer Malware, darunter:

• NotPetya (2017) – Ein globaler Wiper, der als Ransomware getarnt war
• Industroyer (2016) – Zielte auf das ukrainische Stromnetz ab und verursachte Stromausfälle
• CaddyWiper (2022) – Wurde in Angriffen auf ukrainische Organisationen eingesetzt

Der Angriff auf den polnischen Energiesektor entspricht den Taktiken, Techniken und Verfahren (TTPs) von Sandworm, die häufig die Störung kritischer Infrastruktur für geopolitische Einflussnahme beinhalten. Die Gruppe hat bereits zuvor Energiesektoren in der Ukraine, den USA und Europa ins Visier genommen, was diesen jüngsten Versuch mit ihren strategischen Zielen in Einklang bringt.

Auswirkungen und Reaktion

Das Kommando Cyberraumkräfte der polnischen Streitkräfte bestätigte, dass der Angriff neutralisiert wurde, bevor er Schäden verursachen konnte, obwohl Details zum initialen Infektionsvektor nicht veröffentlicht wurden. Minister Motyka betonte die zunehmende Raffinesse von Cyberbedrohungen für die nationale Infrastruktur und erklärte:

„Das Kommando der Cyberraumkräfte hat in den letzten Tagen des Jahres den bisher stärksten Angriff auf unseren Energiesektor diagnostiziert.“

Der Vorfall unterstreicht das anhaltende Risiko, das von staatlich unterstützten APT-Gruppen für Industrial Control Systems (ICS) und Operational Technology (OT)-Umgebungen ausgeht. Obwohl Polens Abwehrmaßnahmen erfolgreich waren, dient der Angriff als Warnung für andere Nationen, ihre kritische Infrastruktur gegen ähnliche Bedrohungen zu härten.

Empfehlungen für Sicherheitsteams

Organisationen im Energiesektor und anderer kritischer Infrastruktur sollten:

1. Überwachung verstärken – Anomalieerkennung für ICS/OT-Netzwerke einsetzen, um Aktivitäten von Wiper- oder zerstörerischer Malware zu identifizieren.
2. Netzwerke segmentieren – OT-Systeme von Unternehmens-IT-Netzwerken isolieren, um laterale Bewegungen einzuschränken.
3. Incident-Response-Pläne aktualisieren – Sicherstellen, dass Playbooks Wiper-Malware und TTPs staatlicher Akteure berücksichtigen.
4. Threat Hunting durchführen – Proaktiv nach Sandworm-bezogenen IOCs und Living-off-the-Land (LotL)-Techniken suchen.
5. Mit CERTs zusammenarbeiten – Bedrohungsinformationen mit nationalen Cybersicherheitsbehörden teilen, um die kollektive Abwehr zu verbessern.

Fazit

Obwohl der DynoWiper-Angriff erfolglos blieb, verdeutlicht er die sich entwickelnde Bedrohungslandschaft für kritische Infrastrukturen. Da staatlich unterstützte Gruppen ihre Fähigkeiten verfeinern, müssen Verteidiger die Resilienz gegen zerstörerische Cyberoperationen priorisieren. Polens schnelle Reaktion zeigt die Bedeutung proaktiver Cybersicherheitsmaßnahmen bei der Abwehr staatlicher Bedrohungen.

Für weitere Updates folgen Sie Bedrohungsanalysen von CERT Polska und führenden Cybersicherheitsunternehmen.