VARSAVIA, 24 gennaio 2026, 14:24 (CET)
- ESET collega i cyberattacchi di fine dicembre alla rete elettrica polacca al gruppo Sandworm sostenuto dalla Russia, anche se non si sono verificate interruzioni
- Secondo il governo polacco, sono stati colpiti due impianti di cogenerazione e sistemi di gestione delle energie rinnovabili
- Le autorità affermano che sono in fase di elaborazione regole di cybersicurezza più severe dopo il tentato attacco
La società di cybersicurezza ESET ha indicato hacker legati all’intelligence militare russa come probabile fonte dei cyberattacchi che hanno preso di mira la rete elettrica polacca a fine dicembre. Gli intrusi hanno tentato di diffondere un malware distruttivo noto come DynoWiper, anche se il tentativo sembra essere fallito. L’Ambasciata russa a Washington non ha risposto alle richieste di commento. 1
La scoperta mette in maggiore evidenza un incidente che le autorità polacche ora considerano una seria minaccia per la sicurezza energetica del Paese. L’attenzione si è spostata dal furto di dati verso la potenziale interruzione. Questo sviluppo arriva mentre Varsavia sostiene regole informatiche più severe per le infrastrutture critiche.
TechCrunch ha definito DynoWiper un malware “wiper” progettato per cancellare dati e disabilitare computer. 2
Il primo ministro polacco ha dichiarato che gli attacchi del 29-30 dicembre hanno colpito due impianti di cogenerazione—questi impianti producono sia elettricità che calore—e hanno anche preso di mira un sistema di gestione dell’energia proveniente da fonti rinnovabili come turbine eoliche e impianti solari. Donald Tusk ha affermato che “tutto indica” che l’operazione sia stata condotta da gruppi “direttamente collegati ai servizi russi.” 3
Tusk ha detto che le difese della Polonia sono rimaste solide, sottolineando che “in nessun momento le infrastrutture critiche sono state minacciate.” Ha confermato di aver ordinato a ministri e servizi speciali di lavorare a pieno regime e ha indicato i prossimi passi, tra cui una proposta di legge per un sistema nazionale di cybersicurezza.
ESET ha collegato l’attacco a Sandworm con “fiducia media”, citando la sua analisi sia del malware che dei metodi degli aggressori. L’azienda ha anche osservato: “Non siamo a conoscenza di alcuna interruzione riuscita a seguito di questo attacco.” DynoWiper è un wiper—un tipo di malware che cancella o sovrascrive dati per rendere inutilizzabili le macchine. 4
Il ministro dell’Energia Milosz Motyka ha detto ai giornalisti all’inizio di questo mese che le unità di difesa informatica della Polonia hanno rilevato “l’attacco più forte all’infrastruttura energetica degli ultimi anni.” La violazione ha colpito i collegamenti di comunicazione tra gli impianti di energia rinnovabile e gli operatori di distribuzione dell’energia. 5
Robert Lipovsky, ricercatore principale di threat intelligence presso ESET, ha definito l’operazione “senza precedenti” per la Polonia, sottolineando che i precedenti attacchi informatici non avevano mirato alla distruzione. “Riuscire a portare a termine un attacco informatico distruttivo contro il settore energetico polacco è una cosa importante,” ha detto alla giornalista Kim Zetter. 6
Sandworm, famigerato per le sue operazioni distruttive, è stato collegato da funzionari e esperti occidentali agli attacchi contro l’infrastruttura energetica ucraina, incluso un blackout causato da malware dieci anni fa. L’evento di fine dicembre in Polonia ha attirato l’attenzione proprio per questo motivo.
La nuova legge polacca sulla cybersicurezza punta a regole più severe per la gestione del rischio e la risposta agli incidenti sia per le reti IT che per la tecnologia operativa—i sistemi di controllo industriale che gestiscono centrali elettriche e infrastrutture di rete.
L’attribuzione degli attacchi informatici raramente produce prove pronte per il tribunale, e le scoperte di ESET si basano su somiglianze di codice e tattiche piuttosto che su un’ammissione formale. L’indagine sui danni intenzionali continua, e le autorità polacche non hanno rivelato come sia avvenuta la violazione—lasciando aperta la possibilità di un altro attacco con tecniche diverse.
L’incidente di dicembre non ha causato un blackout—almeno, non questa volta. Tuttavia, dimostra con quanta rapidità un malware che cancella dati possa passare dai sistemi IT direttamente alla rete elettrica. Gli operatori energetici ora si stanno preparando per l’attacco che temono davvero: il prossimo.
