Ruští hackeři zaútočili na polskou energetickou infrastrukturu

Společnost ESET zveřejnila nejnovější informace o kybernetickém útoku, který koncem loňského prosince mířil na energetickou infrastrukturu Polska. Podle dostupných důkazů přisuzují experti útok APT skupině Sandworm, která má vazby na ruskou vojenskou rozvědku GRU.

Jednalo se o škodlivý kód typu wiper, který je určený k ničení napadených dat a systémů a který byl společností ESET několikrát detekován na Ukrajině v době ruské invaze v únoru 2022. Kybernetický útok nebyl podle zatím dostupných informací úspěšný.

Podle zveřejněných informací byl polský energetický sektor na konci loňského roku terčem významného kybernetického útoku. Společnost ESET v souvislosti s tím potvrzuje, že zaznamenala pokus o kybernetický útok 29. prosince 2025.

Útočníci nasadili škodlivý kód typu wiper, který bezpečnostní experti z ESETu pojmenovali DynoWiper a dále jej analyzovali. Wiper je škodlivý kód, který není, na rozdíl například od ransomwaru, určený k finančnímu zisku. Jeho hlavním cílem je zničit klíčová data a systémy. V tuto chvíli bezpečnostní experti nemají informace o tom, že by byl kyberútok úspěšný a došlo tak k jakémukoli narušení fungování energetické infrastruktury země. Také situace v České republice, jako přímé sousední země Polska, je podle bezpečnostních expertů standardní.

„Na základě analýzy tohoto škodlivého kódu a souvisejících taktik, technik a postupů připisujeme útok s velkou pravděpodobností APT skupině Sandworm. Důvodem je výrazná podobnost s řadou předchozích útoků za použití wiperů, které jsme u této skupiny již v minulosti viděli. Termínem APT jsou označovány pokročilé trvalé hrozby. Jedná se o útočníky nebo skupiny útočníků, kteří získávají přístupy do počítačových sítí zpravidla významných soukromých či vládních organizací. V mnohých případech je jejich aktivita financována státy. Hackeři ze skupiny Sandworm jsou spojováni s ruskou vojenskou zpravodajskou službou GRU,“ říká Robert Šuman, vedoucí pražské výzkumné pobočky společnosti ESET.

Zatímco podrobnosti o zamýšleném dopadu tohoto útoku jsou stále předmětem vyšetřování, je důležité zdůraznit jeho načasování. Hackeři se rozhodli útok provést uprostřed zimy, 10 let od útoku organizovaného skupinou Sandworm proti ukrajinské energetické síti. V prosinci 2015 to byl tehdy vůbec první výpadek elektřiny způsobený malwarem, kdy skupina použila škodlivý kód BlackEnergy k získání přístupu ke kritickým systémům několika elektrických rozvoden. Následkem kyberútoku zůstalo přibližně 230 000 lidí několik hodin bez elektřiny.

Bezpečnostní řešení společnosti ESET detekují škodlivý kód DynoWiper jako Win32/KillFiles.NMO. Další detaily včetně indikátorů kompromitace uvedla společnost ESET do zpráv APT Activity Reports, které v rámci služby ESET Threat Inteligence poskytuje svým zákazníkům.

Bezpečnostní experti hrozbu nadále analyzují a v případě nových zjištění poskytnou další informace.