Исследователи кибербезопасности компании ESET установили, что за масштабным инцидентом в энергетическом секторе Польши в конце 2025 года стоит печально известная группа APT Sandworm. Атака, использовавшая вредоносное ПО для стирания данных, не привела к отключениям электричества, однако её символический Timing вызывает серьёзную тревогу у экспертов. Координация атаки пришлась на декабрь 2025 года, ровно через десять лет после первой в истории кибератаки, вызвавшей блэкаут, которая также была орнагизована Sandworm на Украине.
Описание
По данным аналитиков ESET Research, атака на польскую энергосистему была произведена в последнюю неделю декабря. Злоумышленники использовали новый образец вируса-уничтожителя (wiper), который исследователи назвали DynoWiper. Вредоносная программа предназначена для необратимого повреждения данных в целевых системах путём перезаписи файлов. При этом, как подчёркивают исследователи, им неизвестно о каких-либо реальных сбоях в работе энергосетей, ставших результатом этой атаки.
Атрибуция инцидента группе Sandworm произведена со средней степенью уверенности. Основанием послужило сильное переселение тактик, техник и процедур (TTP) с многочисленными предыдущими атаками этой группы, которые анализировала компания ESET. Sandworm обладает долгой историей деструктивных кибератак, особенно против критической инфраструктуры Украины. Например, в декабре 2015 года группа использовала вредоносное ПО BlackEnergy для проникновения в системы нескольких электрических подстанций, оставив без электричества примерно 230 000 человек на несколько часов.
Спустя десятилетие группа продолжает целенаправленную деятельность. Более того, её активность лишь усиливается. В своём последнем отчёте об активности APT-групп, охватывающем период с апреля по сентябрь 2025 года, исследователи ESET отметили, что Sandworm регулярно проводит атаки с использованием вирусов-уничтожителей против целей в Украине. Таким образом, атака на Польшу демонстрирует потенциальное расширение географических интересов группы или её готовность тестировать возможности в соседних странах.
Эксперты отмечают, что сама по себе дата проведения атаки является мощным сигналом. Она не только символически отсылает к прошлым успехам группы, но и служит напоминанием о её долгосрочной устойчивости и операционных возможностях. Несмотря на то что полезная нагрузка (payload) DynoWiper не достигла своей максимальной разрушительной цели в данном случае, факт её внедрения в систему энергосети критически важного объекта союзника по НАТО вызывает серьёзные вопросы об уровне защищённости инфраструктуры.
Данный инцидент наглядно иллюстрирует эволюцию угроз для критической инфраструктуры. Если раньше основной фокус злоумышленников мог быть на шпионаже или сборе данных, то сейчас явно прослеживается тренд на физические деструктивные воздействия. Группы типа Sandworm тщательно изучают операционные технологии, чтобы их атаки имели максимальный материальный эффект.
В конечном итоге, анализ ESET подчёркивает необходимость постоянной бдительности и обмена информацией между странами и компаниями, работающими в секторе критической инфраструктуры. Даже если атака не привела к немедленным катастрофическим последствиям, она служит важным тревожным сигналом. По мнению исследователей, подобные кампании позволяют группе Sandworm отрабатывать методики, совершенствовать инструменты и оценивать реакцию систем защиты, готовясь к более масштабным операциям в будущем.
Индикаторы компрометации
SHA1
- 4ec3c90846af6b79ee1a5188eefa3fd21f6d4cf6
