WARSCHAU, 24 jan 2026, 14:24 (CET)
- ESET koppelt de cyberaanvallen op het Poolse elektriciteitsnet eind december aan de door Rusland gesteunde Sandworm-groep, hoewel er geen verstoringen plaatsvonden
- Volgens de Poolse regering werden twee warmtekrachtcentrales en systemen voor het beheer van hernieuwbare energie getroffen
- Ambtenaren zeggen dat strengere cyberbeveiligingsregels worden opgesteld na de poging tot aanval
Cyberbeveiligingsbedrijf ESET heeft hackers die gelinkt zijn aan de Russische militaire inlichtingendienst aangewezen als de waarschijnlijke bron van de cyberaanvallen op het Poolse elektriciteitsnet eind december. De indringers probeerden een data-wissende malware genaamd DynoWiper te ontketenen, hoewel hun poging lijkt te zijn mislukt. De Russische ambassade in Washington heeft niet gereageerd op verzoeken om commentaar. (Reuters)
De ontdekking werpt een scherper licht op een incident dat Poolse functionarissen nu zien als een ernstige bedreiging voor de energiezekerheid van het land. De focus is verschoven van datadiefstal naar mogelijke verstoring. Deze ontwikkeling komt op het moment dat Warschau pleit voor strengere cyberregels voor kritieke infrastructuur.
TechCrunch bestempelde DynoWiper als “wiper”-malware die is ontworpen om data te verwijderen en computers uit te schakelen. (TechCrunch)
De Poolse premier zei dat de aanvallen op 29-30 december twee warmtekrachtcentrales troffen—deze installaties produceren zowel elektriciteit als warmte—en ook een systeem dat stroom uit hernieuwbare bronnen zoals windturbines en zonneparken beheert. Donald Tusk verklaarde dat “alles erop wijst” dat de operatie werd uitgevoerd door groepen “direct gelinkt aan de Russische diensten.” (Gov)
Tusk zei dat de Poolse verdediging solide bleef en benadrukte dat “op geen enkel moment kritieke infrastructuur werd bedreigd.” Hij bevestigde dat hij ministers en speciale diensten opdracht gaf op volle kracht te werken en wees op komende stappen, waaronder een wetsontwerp voor een nationaal cyberbeveiligingssysteem.
ESET koppelde de aanval met “middelmatige zekerheid” aan Sandworm, op basis van hun analyse van zowel de malware als de methoden van de aanvallers. Het bedrijf merkte ook op: “We zijn niet op de hoogte van enige geslaagde verstoring als gevolg van deze aanval.” DynoWiper is een wiper—een soort malware die data verwijdert of overschrijft om machines onbruikbaar te maken. (We Live Security)
Energie-minister Milosz Motyka vertelde eerder deze maand aan verslaggevers dat de Poolse cyberverdedigingseenheden “de sterkste aanval op de energie-infrastructuur in jaren” detecteerden. De inbreuk trof communicatielijnen tussen installaties voor hernieuwbare energie en stroomdistributie-operators. (Reuters)
Robert Lipovsky, hoofdonderzoeker dreigingsinformatie bij ESET, noemde de operatie “ongekend” voor Polen en wees erop dat eerdere cyberaanvallen niet gericht waren op verstoring. “Het uitvoeren van een verstorende cyberaanval op de Poolse energiesector is een grote zaak,” vertelde hij aan journaliste Kim Zetter. (ZERO DAY)
Sandworm, berucht om zijn destructieve operaties, is door westerse functionarissen en experts in verband gebracht met aanvallen op de Oekraïense energie-infrastructuur, waaronder een door malware veroorzaakte stroomuitval tien jaar geleden. Dat incident eind december in Polen heeft, gezien deze achtergrond, de aandacht getrokken.
De nieuwe Poolse cyberwet richt zich op strengere regels voor risicobeheer en incidentrespons voor IT-netwerken, evenals operationele technologie—de industriële controlesystemen die energiecentrales en netinfrastructuur aansturen.
Cyberattributie levert zelden bewijs op dat geschikt is voor de rechtszaal, en de bevindingen van ESET zijn gebaseerd op code- en tactiekovereenkomsten in plaats van een formele bekentenis. Het onderzoek naar de beoogde schade loopt nog, en Poolse functionarissen hebben niet bekendgemaakt hoe de inbreuk heeft plaatsgevonden—waardoor de kans op een nieuwe aanval met andere technieken open blijft.
Het incident in december veroorzaakte geen stroomuitval—althans, deze keer niet. Toch laat het zien hoe snel data-wis-malware van IT-systemen direct naar het elektriciteitsnet kan overspringen. Energie-operators maken zich nu op voor de aanval waar ze echt bang voor zijn: de volgende.
