Кибератака Sandworm с использованием вредоносного ПО DynoWiper сорвана в польском энергосекторе

Российская APT-группа Sandworm атаковала польский энергосектор с помощью вредоносного ПО DynoWiper

В конце декабря 2025 года энергетическая инфраструктура Польши стала целью неудавшейся кибератаки, организованной российской государственной хакерской группировкой Sandworm. Министр энергетики Милош Мотыка охарактеризовал атаку как «крупнейшую кибератаку» на энергосистему страны. В ходе инцидента было развернуто новое деструктивное вредоносное ПО под названием DynoWiper. Командованию киберпространственных сил Польши удалось обнаружить и нейтрализовать угрозу до того, как она смогла нарушить работу систем.

Технические детали атаки

Хотя конкретные индикаторы компрометации (IOC) и технический анализ DynoWiper остаются ограниченными, название вредоносного ПО указывает на функциональность вайпера — программы, предназначенной для стирания или повреждения данных, а не их хищения. Группа Sandworm, связанная с Главным управлением Генштаба ВС РФ (ГРУ), имеет историю использования деструктивного вредоносного ПО, включая:

• NotPetya (2017) – глобальный вайпер, маскировавшийся под программу-вымогатель;
• Industroyer (2016) – атака на энергосистему Украины, вызвавшая блэкауты;
• CaddyWiper (2022) – использовался в атаках на украинские организации.

Атака на польский энергосектор соответствует тактикам, техникам и процедурам (TTP) Sandworm, которые часто включают нарушение работы критически важной инфраструктуры для достижения геополитических целей. Группа ранее атаковала энергетические секторы Украины, США и Европы, что делает эту попытку согласованной с её стратегическими задачами.

Последствия и реакция

Командование киберпространственных сил Польши подтвердило, что атака была нейтрализована до нанесения ущерба, хотя детали о начальном векторе заражения остаются нераскрытыми. Министр Мотыка подчеркнул растущую сложность киберугроз для национальной инфраструктуры, заявив:

«Командование киберпространственных сил в последние дни года зафиксировало самую мощную атаку на наш энергетический сектор за всё время».

Этот инцидент подчеркивает постоянную угрозу, которую представляют государственные APT-группы для промышленных систем управления (ICS) и операционных технологий (OT). Хотя оборона Польши выдержала, атака служит предупреждением для других стран о необходимости укрепления критически важной инфраструктуры перед лицом подобных угроз.

Рекомендации для служб безопасности

Организациям в энергетическом секторе и других критически важных отраслях следует:

1. Усилить мониторинг – внедрить системы обнаружения аномалий в сетях ICS/OT для выявления активности вайперов или деструктивного вредоносного ПО.
2. Сегментировать сети – изолировать системы OT от корпоративных IT-сетей, чтобы ограничить горизонтальное перемещение злоумышленников.
3. Обновить планы реагирования на инциденты – включить в сценарии реагирования учёт вайперов и TTP государственных хакерских групп.
4. Проводить поиск угроз – активно искать IOC, связанные с Sandworm, и техники «жизнедеятельности на чужой территории» (LotL).
5. Сотрудничать с CERT – обмениваться разведданными об угрозах с национальными агентствами кибербезопасности для улучшения коллективной защиты.

Заключение

Несмотря на провал, атака с использованием DynoWiper демонстрирует эволюцию киберугроз для критически важной инфраструктуры. Поскольку государственные хакерские группы совершенствуют свои возможности, защитникам необходимо уделять первоочередное внимание устойчивости к деструктивным кибероперациям. Быстрое реагирование Польши подчеркивает важность проактивных мер кибербезопасности в противодействии угрозам со стороны государств.

Для получения обновлений следите за отчётами о киберугрозах от CERT Polska и ведущих компаний в сфере кибербезопасности.