VARSAW, 2026. január 24., 14:24 (CET)
- Az ESET a december végén történt lengyelországi áramhálózati kibertámadásokat az orosz támogatású Sandworm csoporthoz köti, bár fennakadások nem történtek
- A lengyel kormány szerint két kapcsolt hő- és erőművet, valamint megújuló energia menedzsment rendszereket ért támadás
- A tisztviselők szerint szigorúbb kiberbiztonsági szabályokon dolgoznak a támadási kísérlet után
Az ESET kiberbiztonsági cég az orosz katonai hírszerzéshez köthető hackereket jelölte meg a december végén Lengyelország áramhálózatát célzó kibertámadások valószínű forrásaként. A behatolók egy DynoWiper nevű, adatokat törlő kártevőt próbáltak bevetni, de úgy tűnik, a kísérletük kudarcot vallott. Az Orosz Nagykövetség Washingtonban nem reagált a megkeresésekre. 1
A felfedezés ráirányítja a figyelmet egy olyan incidensre, amelyet a lengyel tisztviselők most már az ország energiabiztonságát komolyan fenyegető veszélyként értékelnek. A hangsúly az adatlopásról a lehetséges működési zavarokra helyeződött át. Ez a fejlemény akkor érkezik, amikor Varsó szigorúbb kiberbiztonsági szabályokat szorgalmaz a kritikus infrastruktúra védelmére.
A TechCrunch a DynoWipert „wiper” kártevőként jellemezte, amely adatokat töröl és számítógépeket tesz működésképtelenné. 2
Lengyelország miniszterelnöke elmondta, hogy a december 29-30-i támadások két kapcsolt hő- és erőművet értek—ezek az üzemek áramot és hőt is termelnek—, valamint egy olyan rendszert is célba vettek, amely a megújuló energiaforrásokból, például szélturbinákból és napelemparkokból származó áramot kezeli. Donald Tusk kijelentette, hogy „minden jel arra utal”, hogy a műveletet „közvetlenül az orosz szolgálatokhoz kötődő csoportok” hajtották végre. 3
Tusk elmondta, hogy Lengyelország védelme szilárd maradt, hangsúlyozva, hogy „egyik pillanatban sem volt veszélyben a kritikus infrastruktúra.” Megerősítette, hogy utasította a minisztereket és a különleges szolgálatokat a teljes kapacitású munkavégzésre, és utalt a közelgő lépésekre, köztük egy nemzeti kiberbiztonsági rendszerre vonatkozó törvénytervezetre.
Az ESET „közepes biztonsággal” kötötte a támadást a Sandwormhoz, a kártevő és a támadók módszereinek elemzésére hivatkozva. A cég azt is megjegyezte: „Nem tudunk arról, hogy a támadás eredményeként bármilyen sikeres fennakadás történt volna.” A DynoWiper egy wiper—olyan kártevő, amely adatokat töröl vagy felülír, hogy a gépeket használhatatlanná tegye. 4
Milosz Motyka energiaügyi miniszter a hónap elején újságíróknak elmondta, hogy Lengyelország kiber-védelmi egységei „az elmúlt évek legerősebb támadását” észlelték az energetikai infrastruktúra ellen. A behatolás a megújuló energia létesítmények és az áramelosztó üzemeltetők közötti kommunikációs kapcsolatokat érte. 5
Robert Lipovsky, az ESET vezető fenyegetésfelderítő kutatója „példátlannak” nevezte a műveletet Lengyelország számára, rámutatva, hogy a korábbi kibertámadások nem a zavarásra irányultak. „Egy zavaró kibertámadás végrehajtása a lengyel energiaszektor ellen nagy dolog” – mondta Kim Zetter újságírónak. 6
A Sandworm, amely hírhedt pusztító műveleteiről, a nyugati tisztviselők és szakértők szerint kapcsolatba hozható Ukrajna energiahálózata elleni támadásokkal, beleértve egy évtizeddel ezelőtti, rosszindulatú program által okozott áramszünetet is. A lengyelországi, december végén történt esemény erre a háttérre tekintettel kapott figyelmet.
Lengyelország új kiberjoga szigorúbb kockázatkezelési és incidensreagálási szabályokat céloz meg az IT-hálózatok, valamint az operatív technológia – azaz az erőműveket és a hálózati infrastruktúrát működtető ipari vezérlőrendszerek – számára.
A kibertámadásokhoz való hozzárendelés ritkán eredményez bíróságon is megálló bizonyítékot, és az ESET megállapításai is inkább a kód- és taktikabeli hasonlóságokra, mintsem hivatalos beismerésre támaszkodnak. A vizsgálat a szándékolt károk felderítésére továbbra is folyik, és a lengyel tisztviselők nem hozták nyilvánosságra, hogyan történt a behatolás – így nyitva hagyva a lehetőséget egy újabb, más technikákkal végrehajtott támadás előtt.
A decemberi incidens nem okozott áramszünetet – legalábbis ezúttal nem. Mégis, jól mutatja, milyen gyorsan képes az adatokat törlő rosszindulatú program az IT-rendszerekből közvetlenül az energiahálózatra átjutni. Az energiaszolgáltatók most arra a támadásra készülnek, amitől igazán tartanak: a következőre.
