Wirus, który nie żąda okupu, tylko niszczy wszystko

Do ataku wykorzystano złośliwe oprogramowanie typu wiper, nazwane DynoWiper. Tego typu wirusy nie szyfrują plików ani nie żądają okupu. Ich jedynym celem jest trwałe zniszczenie danych – nadpisują je losowym ciągiem znaków, uniemożliwiając odzyskanie. DynoWiper został zaprojektowany z myślą o systemach Linux, które dominują w serwerach i infrastrukturze energetycznej, co czyni go wyjątkowo niebezpiecznym.

ikona lupy />
cybernetyczne ataki / Forsal.pl / DALL-E

Oprogramowanie to potrafi ukrywać się w systemie, podszywając pod rutynowe aktualizacje. Może pozostawać nieaktywne przez długi czas, czekając na zdalny rozkaz do uderzenia. W momencie aktywacji uruchamia się równocześnie na wszystkich zainfekowanych urządzeniach, co utrudnia reakcję obronną.

Grupa Sandworm znów na scenie. Ślad prowadzi do Rosji

Za atakiem ma stać grupa hakerska Sandworm, znana z wcześniejszych działań przeciwko infrastrukturze Ukrainy. Grupa ta od lat jest łączona z rosyjskim wywiadem wojskowym (GRU). W 2015 roku odpowiadała za pierwszy w historii skuteczny atak na sieć energetyczną – odcięto wtedy prąd 230 tysiącom osób na Ukrainie. Również w grudniu 2022 roku Sandworm próbował podobnych działań w Europie Wschodniej.

ikona lupy />
Naszywka z symbolem GRU / shutterstock

Do ataku na Polskę doszło dokładnie 10 lat po wydarzeniach na Ukrainie. 29 grudnia 2025 roku. Eksperci z firmy ESET, analizując kod DynoWipera, zauważyli szereg podobieństw do wcześniejszych operacji tej samej grupy. Choć nie przedstawiono twardych dowodów, techniczny sposób działania i narzędzia wskazują na dobrze znany wzorzec rosyjskich cyberataków.

Atak wymierzony w elektrociepłownie i OZE

Cyberatak nie ograniczył się do jednego celu – objął zarówno tradycyjne, jak i nowoczesne źródła energii. Próbowano sparaliżować wybrane elektrociepłownie oraz rozproszone instalacje OZE, takie jak farmy wiatrowe i słoneczne. Celem było zakłócenie komunikacji pomiędzy punktami generacji a operatorami sieci.

ikona lupy />
Projekt mający na celu wsparcie morskich farm wiatrowych zawiera również zapisy dotyczące spółdzielni energetycznych w miastach czy ramy regulacyjne dla obszarów przyspieszonego rozwoju odnawialnych źródeł energii / shutterstock / fot. Giorgia Wollner/Shutterstock

Według danych zebranych przez operatora systemu przesyłowego (PSE), żadna z prób nie zakończyła się skutecznym włamaniem do infrastruktury krytycznej. W niektórych przypadkach doszło do czasowego zaburzenia pracy systemów monitorujących, ale główny system dystrybucji energii pozostał stabilny.

Kto chciał „wyłączyć” Polskę?

Atak mógł mieć charakter demonstracyjny – pokazać, że Polska jest równie podatna na cyberwojnę jak inne kraje regionu. W przeciwieństwie do tradycyjnych ataków militarnych, operacje w cyberprzestrzeni nie zostawiają wyraźnych śladów, a ich skutki mogą być odczuwalne dopiero po czasie.

Cyberprzestępcy coraz częściej skupiają się na tzw. infrastrukturze krytycznej – sieciach energetycznych, systemach transportu, wodociągach. Sabotaż w tej sferze może prowadzić do realnych zagrożeń dla zdrowia i życia obywateli.

Wnioski na przyszłość. Co się zmieni po grudniowym incydencie?

Grudniowy atak nie doprowadził do blackoutu, ale był ważnym ostrzeżeniem. Polska, podobnie jak wiele innych państw europejskich, musi stale rozwijać zdolności obronne w cyberprzestrzeni. Zwiększone zostaną inwestycje w systemy detekcji i reagowania na ataki oraz szkolenia dla pracowników odpowiedzialnych za bezpieczeństwo IT w sektorze energetycznym. W ciągu najbliższych miesięcy mają zostać przeprowadzone testy odporności systemów energetycznych na złożone ataki cybernetyczne. Planowane są także nowe regulacje prawne, które wymuszą dodatkowe zabezpieczenia w firmach z sektora krytycznego.

Źródło: welivesecurity.com