Rosyjscy hakerzy uderzyli w Polskę. Sieć energetyczna zainfekowana nieznanym "wiperem"

Pod koniec grudnia polska sieć energetyczna znalazła się na celowniku zaawansowanego cyberataku, który według badaczy mógł mieć charakter sabotażowy.

W piątek eksperci ds. bezpieczeństwa poinformowali, że w infrastrukturze energetycznej wykryto złośliwe oprogramowanie typu wiper, zaprojektowane w celu trwałego niszczenia danych i paraliżowania systemów. Wszystko wskazuje na to, że za atakiem stała rosyjska grupa hakerska powiązana z aparatem państwowym.

Informacje o incydencie podała agencja Reuters, wskazując, że do próby ataku doszło w ostatnim tygodniu grudnia. Według ustaleń celem była komunikacja pomiędzy instalacjami energii odnawialnej a operatorami dystrybucji energii. Operacja zakończyła się jednak niepowodzeniem i nie doprowadziła do przerw w dostawach prądu.

Wiper zamiast szpiegostwa

Analizą techniczną ataku zajęła się firma ESET, która w piątek potwierdziła użycie wipera, szczególnie destrukcyjnej klasy złośliwego oprogramowania. Tego typu narzędzia nie służą kradzieży danych ani długotrwałej infiltracji systemów, lecz mają doprowadzić do ich fizycznego unieruchomienia poprzez trwałe usunięcie kluczowych informacji i kodu.

Zdaniem badaczy ESET zastosowane techniki, schematy działania oraz sposób wdrożenia złośliwego kodu wykazują istotne podobieństwo do wcześniejszych operacji rosyjskiej grupy APT znanej jako Sandworm. Atrybucja ataku została określona jako średnio pewna, jednak analiza porównawcza wskazuje na wyraźne pokrywanie się z wcześniejszymi kampaniami tej grupy.

„Na podstawie naszej analizy złośliwego oprogramowania i powiązanych z nim technik TTP (Trigger-Tips), przypisujemy atak rosyjskiej grupie APT Sandworm ze średnim prawdopodobieństwem, ze względu na ścisłe nakładanie się z licznymi wcześniejszymi analizowanymi przez nas działaniami typu wiper Sandworm” – stwierdzili badacze ESET.

Sandworm i jego historia zniszczeń

Sandworm od lat uznawany jest za jedną z najbardziej agresywnych grup hakerskich działających w interesie Kremla. Najgłośniejszy atak przypisywany tej formacji miał miejsce w grudniu 2015 roku na Ukrainie. W wyniku tej operacji setki tysięcy ludzi zostały pozbawione energii elektrycznej w środku zimy. Wówczas wykorzystano złośliwe oprogramowanie BlackEnergy do przejęcia systemów sterowania siecią energetyczną i ręcznego wyłączenia dystrybucji prądu.

ESET zwraca uwagę na symboliczny wymiar najnowszego incydentu. Próba ataku na polską infrastrukturę miała miejsce dokładnie w dziesiątą rocznicę tamtych wydarzeń. W Polsce użyto narzędzia określanego jako DynoWiper, o którym na razie wiadomo niewiele poza jego destrukcyjnym charakterem.

Rosyjskie wipery jako broń cyfrowa

Wipery od dawna stanowią stały element rosyjskiego arsenału cybernetycznego. W 2022 roku malware AcidRain został użyty do zniszczenia setek tysięcy modemów satelitarnych na Ukrainie, uderzając w łączność cywilną i wojskową. Był to kolejny przykład eskalacji działań w cyberprzestrzeni po rozpoczęciu pełnoskalowej inwazji.

ESET przypomina również o serii ataków wymierzonych w ukraińskie uczelnie i infrastrukturę krytyczną, gdzie Sandworm wdrażał kolejne warianty wiperów. Najbardziej znanym przypadkiem pozostaje jednak NotPetya z 2017 roku. Ten destrukcyjny robak wymknął się spod kontroli i sparaliżował systemy na całym świecie, generując straty liczone w dziesiątkach miliardów dolarów.

&

bdquo;Nie mamy informacji o żadnym skutecznym zakłóceniu w wyniku tego ataku”.

Na obecnym etapie nie wiadomo, dlaczego DynoWiper nie doprowadził do zakłóceń w dostawach energii w Polsce. Eksperci rozważają kilka scenariuszy, w tym możliwość celowego ograniczenia skali operacji w celu wysłania sygnału ostrzegawczego bez eskalacji napięć międzynarodowych. Nie można również wykluczyć skutecznej reakcji systemów cyberobrony, które zablokowały destrukcyjne działanie złośliwego oprogramowania.