Российская группа Sandworm атакует энергосистему Польши с помощью вредоносного ПО DynoWiper

Российская APT-группа Sandworm предприняла деструктивную атаку на энергетический сектор Польши

В конце декабря 2025 года кибератака на энергосистему Польши была приписана Sandworm — российской государственной хакерской группе, специализирующейся на продвинутых постоянных угрозах (APT). Злоумышленники попытались развернуть DynoWiper — новое деструктивное вредоносное ПО, предназначенное для уничтожения данных и нарушения работы критически важной инфраструктуры. Атака в итоге не увенчалась успехом, однако форензик-анализ выявил значительную техническую сложность используемых методов.

Технические детали атаки

Специалисты по кибербезопасности, расследовавшие инцидент, подтвердили, что Sandworm, также известная как APT44 или Voodoo Bear, применила DynoWiper в ходе атаки. Вредоносное ПО обладает характеристиками, типичными для виперов (wiper malware), включая:

• Возможности повреждения файлов, нацеленные на системно-критические и операционные данные;
• Механизмы персистентности для уклонения от обнаружения при горизонтальном перемещении по сети;
• Методы сетевого распространения для максимизации ущерба в связанных системах.

Хотя точный вектор первоначального заражения остаётся предметом расследования, исторические тактики Sandworm указывают на вероятное использование фишинговых атак, компрометацию цепочки поставок или эксплуатацию незакрытых уязвимостей (например, CVE-2023-23397 в Microsoft Outlook). Атака произошла на фоне обострения геополитической напряжённости, что соответствует шаблону киберопераций России против критически важной инфраструктуры стран НАТО.

Последствия и атрибуция

Хотя атака не привела к сбоям в работе, её последствия крайне серьёзны:

• Риск каскадных отказов: Успешное развёртывание випера могло спровоцировать блэкауты или длительные отключения электроэнергии путём повреждения конфигураций промышленных систем управления (ICS).
• Эскалация гибридной войны: Инцидент подчёркивает продолжающееся использование Россией кибератак как инструмента геополитического давления.
• Подрыв доверия к критически важной инфраструктуре: Систематические атаки на энергетический сектор могут вынудить европейские страны к дорогостоящему усилению защитных мер.

Атрибуция атаки группе Sandworm основана на тактиках, техниках и процедурах (TTPs), наблюдавшихся в предыдущих инцидентах, включая блэкауты в энергосистеме Украины в 2015–2016 годах и кампанию випера NotPetya в 2017 году. Польская группа реагирования на компьютерные инциденты (CERT.PL) и частные партнёры проводят полный форензик-анализ.

Меры защиты и рекомендации

Командам кибербезопасности энергетических компаний и операторов критически важной инфраструктуры следует:

1. Изолировать сети ICS от корпоративных IT-сред с помощью строгой сегментации.
2. Развернуть решения для обнаружения и реагирования на конечных точках (EDR), способные выявлять поведение виперов.
3. Внедрить многофакторную аутентификацию (MFA) для всех удалённых подключений к системам операционных технологий (OT).
4. Проводить учения для моделирования атак виперов и проверки планов реагирования на инциденты.
5. Мониторить индикаторы компрометации (IOCs), связанные с DynoWiper, которые будут опубликованы CERT.PL в ближайшие дни.

Инцидент служит суровым напоминанием о постоянной угрозе, исходящей от государственных кибергрупп для критически важной инфраструктуры. Организациям настоятельно рекомендуется уделять первоочередное внимание устойчивости к деструктивным вредоносным программам, особенно в секторах, важных для национальной безопасности.