Russische Sandworm-Gruppe greift Polens Energienetz mit DynoWiper-Malware an

Russische APT Sandworm führt zerstörerischen Wiper-Angriff auf Polens Energiesektor durch

Ein Cyberangriff auf das polnische Stromnetz Ende Dezember 2025 wurde der Sandworm-Gruppe zugeschrieben, einem russischen staatlich unterstützten Advanced Persistent Threat (APT)-Akteur. Die Angreifer versuchten, die neu identifizierte zerstörerische Malware DynoWiper einzusetzen, die darauf abzielt, Daten zu löschen und den Betrieb kritischer Infrastrukturen zu stören. Der Angriff scheiterte letztlich, doch forensische Analysen zeigen eine erhebliche technische Raffinesse.

Technische Details des Angriffs

Sicherheitsforscher, die den Vorfall untersuchten, bestätigten, dass Sandworm – auch bekannt als APT44 oder Voodoo Bear – DynoWiper im Angriff einsetzte. Die Malware weist typische Merkmale von Wiper-Varianten auf, darunter:

• Dateikorruptionsfähigkeiten, die systemkritische und operative Daten angreifen
• Persistenzmechanismen, um während der lateralen Bewegung unentdeckt zu bleiben
• Netzwerkausbreitungstechniken, um die Auswirkungen auf vernetzte Systeme zu maximieren

Obwohl der genaue initiale Infektionsvektor noch untersucht wird, deuten historische Sandworm-Taktiken auf Phishing, Kompromittierung der Lieferkette oder die Ausnutzung ungepatchter Schwachstellen (z. B. CVE-2023-23397 in Microsoft Outlook) als wahrscheinliche Eintrittspunkte hin. Der Angriff erfolgte vor dem Hintergrund erhöhter geopolitischer Spannungen und steht im Einklang mit Russlands Muster von Cyberoperationen gegen kritische Infrastrukturen von NATO-Partnern.

Auswirkungen und Attribution

Obwohl der Angriff keine operativen Störungen verursachte, sind die Implikationen schwerwiegend:

• Potenzial für kaskadierende Ausfälle: Ein erfolgreicher Wiper-Einsatz hätte durch die Korruption von Konfigurationen industrieller Steuerungssysteme (ICS) zu Stromausfällen oder längeren Unterbrechungen führen können.
• Eskalation der hybriden Kriegsführung: Der Vorfall unterstreicht Russlands fortgesetzten Einsatz von Cyberangriffen als Werkzeug geopolitischer Zwangsmaßnahmen.
• Erosion des Vertrauens in kritische Infrastrukturen: Die wiederholte Zielsetzung des Energiesektors könnte kostspielige defensive Aufrüstungen in ganz Europa erzwingen.

Die Attribution zu Sandworm basiert auf Taktiken, Techniken und Verfahren (TTPs), die in früheren Angriffen beobachtet wurden, darunter die Stromausfälle in der Ukraine 2015/2016 und die Wiper-Kampagne NotPetya 2017. Polens Computer Emergency Response Team (CERT.PL) und private Partner arbeiten an einer vollständigen forensischen Analyse.

Abwehrmaßnahmen und Empfehlungen

Sicherheitsteams von Energieversorgern und Betreibern kritischer Infrastrukturen sollten:

1. ICS-Netzwerke durch strikte Segmentierung von Unternehmens-IT-Umgebungen isolieren.
2. Endpoint Detection and Response (EDR)-Lösungen einsetzen, die Wiper-Malware-Verhalten erkennen können.
3. Mehrfaktorauthentifizierung (MFA) für alle Fernzugriffe auf Operational Technology (OT)-Systeme erzwingen.
4. Tabletop-Übungen durchführen, um Wiper-Angriffe zu simulieren und Incident-Response-Pläne zu validieren.
5. Indicators of Compromise (IOCs) im Zusammenhang mit DynoWiper überwachen, die in den kommenden Tagen von CERT.PL veröffentlicht werden.

Der Vorfall ist eine deutliche Erinnerung an die anhaltende Bedrohung durch staatlich unterstützte Akteure für kritische Infrastrukturen. Organisationen werden aufgefordert, die Resilienz gegen zerstörerische Malware zu priorisieren, insbesondere in Sektoren, die für die nationale Sicherheit von entscheidender Bedeutung sind.