Czy można „zetrzeć” prąd z dysku? Ktoś właśnie próbował – i to w Polsce. Atakujący wgrali do systemów energetycznych nowy rodzaj wipera, czyli złośliwego oprogramowania stworzonego po to, by nie szyfrować danych, tylko je nieodwracalnie zniszczyć.
Na szczęście tym razem prąd nie zgasł. Pod koniec grudnia 2025 r. próba uderzenia w polską sieć nie doprowadziła do przerw w dostawach energii. Jednak fakt, że do ataku użyto świeżego wipera (ochrzczonego przez badaczy „DynoWiperem”) i że ślady prowadzą do rosyjskiej grupy Sandworm, to zimny prysznic dla sektora energii – i sygnał, że gra toczy się już na poziomie destrukcji, nie podglądania.
Warto to odnotować nie dlatego, że „tym razem się udało” obronić. Ważne jest przesunięcie ciężaru: od szpiegostwa do sabotażu, i to w infrastrukturze, która ma bardzo realne skutki w świecie analogowym. Daty też nie są przypadkowe – atak zbiegł się z 10. rocznicą pierwszej w historii, udokumentowanej awarii prądu wywołanej malwarem w Ukrainie. Sygnał jest czytelny: wiper to nie jednorazowy wybryk, tylko narzędzie w arsenale.
O co chodzi
Według ESET, w dniach 29-30 grudnia 2025 r. atakujący uderzyli w dwie elektrociepłownie oraz w system zarządzający energią z OZE (wiatraki, fotowoltaika). Celem – jak podkreślają polskie władze – były łącza komunikacyjne między instalacjami a operatorami dystrybucyjnymi. Premier Donald Tusk mówił wprost, że „wszystko wskazuje” na grupy powiązane z rosyjskimi służbami. ESET przypisał sprawstwo Sandwormowi z „średnią pewnością”, wskazując na silne podobieństwa do wcześniejszych kampanii wiperowych tej grupy. I dodał: nie ma dowodów na skuteczne zakłócenia działania sieci. [7]
Nowy wiper, stare zamiary
Badacze nazwali użytego wipera „DynoWiper” i wykrywają go jako Win32/KillFiles.NMO. Tu nie chodzi o okup i Bitcoin. Wipery „przechodzą” przez system plików i usuwają dane tak, że systemu nie da się uruchomić – zostaje odbudowa z backupów albo instalacja od zera. Próbki malware nie pojawiły się dotąd w popularnych repozytoriach, a ESET nie ujawnia szczegółowej analizy technicznej. Innymi słowy: wiemy, co chciał zrobić i do kogo trafił, mniej – jak dokładnie się dostał.
Kontekst: Sandworm i dekada niszczenia
Sandworm (znany też jako UAC-0113, APT44) ma długą listę destrukcyjnych akcji. W grudniu 2015 r. doprowadził do pierwszego „blackoutu na malware” w obwodzie iwanofrankiwskim – 230 tys. ludzi bez prądu przez kilka godzin po infekcji BlackEnergy i użyciu komponentu wiperowego KillDisk. Od pełnoskalowej inwazji Rosji na Ukrainę w 2022 r. wipery wracają regularnie: PathWiper, ZEROLOT, Sting – to tylko niektóre nazwy z 2025 r., kiedy celem były m.in. sektor rządowy, energetyka, logistyka i zboże. W tym świetle grudniowy incydent w Polsce nie jest wyjątkiem, lecz kolejnym odcinkiem serialu.
Dlaczego to istotne teraz
Po pierwsze, cel. Uderzenie w elektrociepłownie oraz systemy OZE to atak na dystrybucję ciepła i prądu w sezonie zimowym.
Po drugie, wektor. Próba rozcięcia „nerwów” łączących farmy wiatrowe i PV z operatorami to uderzenie w układ sterowania, nie w serwery pocztowe.
Po trzecie, timing. Dziesięciolecie ukraińskiego blackoutu to komunikat, nie przypadek.
Po czwarte wreszcie – polityka publiczna. Rząd sygnalizuje nowe przepisy: surowsze wymogi zarządzania ryzykiem, ochrony IT i OT oraz reagowania na incydenty dla infrastruktury krytycznej. Skoro ataki eskalują w stronę destrukcji, krajowa „higiena cybernetyczna” musi dorosnąć do realiów, w których to nie „kradzież danych”, a wyłączenie zasilania jest scenariuszem dnia.
Fakty, które już znamy (i te, których jeszcze nie)
- ESET łączy atak z Sandwormem na podstawie TTP i podobieństw do wcześniejszych wiperów; poziom pewności: średni.
- Polska strona rządowa potwierdza uderzenia w dwie elektrociepłownie i system zarządzania energią z OZE; prądu nie zabrakło. [5]
- Minister energii Miłosz Motyka mówił o „najsilniejszym ataku na infrastrukturę energetyczną od lat”.
- Nie wiadomo, jak długo napastnicy byli w środku ani jak dokładnie się dostali.
Krótki komentarz
„Wiper” brzmi niewinnie – jak wycieraczki do szyb. Niestety to raczej cyfrowa guma do mazania: dotknie krytycznych systemów, a zostaje biała karta. Ta próba w Polsce przypomina, że segmentacja sieci, kopie zapasowe offline i realne ćwiczenia IR nie są „ładnym mieć”, tylko odpowiednikiem gaśnic i wyjść ewakuacyjnych. I że OT to nie przylepek do IT: wymagania, monitoring i procedury muszą sięgać do warstwy sterowników i komunikacji z instalacjami OZE, bo to tam poszły ciosy.
Co dalej
Śledztwo trwa, a atrybucja – jak zwykle w cyber – rzadko daje „dowody na stół”. Ale nawet „średnia pewność” przy tak charakterystycznym TTP Sandworma to wystarczający sygnał ostrzegawczy. Nowe regulacje pomogą, o ile pójdą w parze z realnym egzekwowaniem i budżetami na modernizację OT. Najważniejsze pytanie nie brzmi dziś „czy” ktoś spróbuje ponownie, tylko „kiedy” i „czy będziemy gotowi, gdy w grę wejdzie coś więcej niż próba”.
FAQ
Czy doszło do przerw w dostawach prądu w wyniku ataku na polską sieć pod koniec 2025 roku?
Nie, atak się nie powiódł i nie odnotowano skutecznych zakłóceń. Polskie władze i ESET potwierdzają brak przerw w dostawach.
Kto stoi za atakiem na polską infrastrukturę energetyczną w grudniu 2025 roku?
Według ESET za atakiem stoi grupa Sandworm z „średnią pewnością”. Premier Donald Tusk mówił o powiązaniach sprawców z rosyjskimi służbami. [7]
Co to jest DynoWiper i jak działa?
DynoWiper to wiper – malware do trwałego kasowania danych. Po wykonaniu system staje się nieużywalny i wymaga odtworzenia z kopii lub reinstalacji.
Jakie obiekty były celem ataku na polską energetykę w grudniu 2025 roku?
Celem były dwie elektrociepłownie oraz system zarządzania energią z OZE. Dodatkowo atakowano łącza komunikacyjne między instalacjami a operatorami.
Jakie działania zapowiada polski rząd po tym incydencie?
Rząd zapowiada nowe przepisy dot. cyberbezpieczeństwa z surowszymi wymogami dla IT/OT i reakcji na incydenty. Konkretne zapisy są w przygotowaniu i nie zostały jeszcze publicznie uszczegółowione.
Źródła
- [1] https://arstechnica.com/security/2026/01/wiper-malware-targeted-poland-energy-grid-but-failed-to-knock-out-electricity/
- [2] https://bleepingcomputer.com/news/security/sandworm-hackers-linked-to-failed-wiper-attack-on-polands-energy-systems/
- [3] https://bez-kabli.pl/poland-power-grid-cyberattack-new-dynowiper-wiper-malware-points-to-russias-sandworm/
- [4] https://news.ycombinator.com/item?id=46747827
- [5] https://thehackernews.com/2026/01/new-dynowiper-malware-used-in-attempted.html
- [6] https://techbuzz.ai/articles/russian-hackers-hit-poland-s-grid-with-wiper-malware
- [7] https://welivesecurity.com/en/eset-research/eset-research-sandworm-cyberattack-poland-power-grid-late-2025/
- [8] https://gbhackers.com/sandworm-hackers/
To nie jest ozdobnik. To ślad po procesie: ile informacji było szumem, ile stało się wiedzą i jak wyglądał research, zanim powstał ten tekst.
1. Zbieranie sygnałów (discovery)
- RSS - źródeł w configu
- 90
- RSS - stan źródeł
- 90 / 90 OK
- RSS - przepływ (od surowych do unikalnych)
- 3066 -> 2974 -> 449 -> 318
- RSS - usunięte duplikaty tytułów
- 2
- Pula tematów (z RSS)
- 318
- Wybrane do analizy
- 177
- Odrzucone
- 112
- Duplikaty (archiwum tematów)
- 1
- Klastry (wątki)
- 137
2. Selekcja i filtrowanie
- Odrzucono jako nieaktualne (filtr daty)
- 5
- Odrzucono semantycznie (embedding)
- 12
3. Wyszukiwanie i wzbogacanie
- Zapytania wyszukiwawcze
- 18
- Unikalne wyniki
- 84
- Kandydaci
- 24
- Dodane z wyszukiwania (cache+live)
- 6
- Przeskanowano URL-i (research)
- 2
4. Finalny kontekst
- Źródła użyte w tekście
- 8
- Źródła (domeny)
- 8
- Wikipedia - kontekst
- tak
- Expansion - kontekst
- nie
- Wyłuskane liczby
- 0
