Analitycy ESET potwierdzili, że za próbą cyberataku na polski sektor energetyczny pod koniec 2025 roku stała grupa APT Sandworm – powiązana z rosyjskim wywiadem wojskowym GRU. Choć incydent nie doprowadził do realnych zakłóceń w dostawach energii, jego symboliczny timing i użyte narzędzia wpisują się w długą historię operacji wymierzonych w infrastrukturę krytyczną państw regionu.
Pod koniec grudnia 2025 roku polski sektor energetyczny stał się celem poważnej próby cyberataku, o której publicznie informowali premier Donald Tusk oraz minister cyfryzacji Krzysztof Gawkowski. Teraz szczegóły techniczne zdarzenia ujawnili analitycy ESET, którzy – na podstawie analizy złośliwego oprogramowania oraz sposobu działania napastników – przypisują incydent znanej i osławionej grupie APT Sandworm, powiązanej z rosyjskim wywiadem wojskowym GRU.
Atak miał miejsce 29 grudnia 2025 roku i polegał na użyciu destrukcyjnego złośliwego oprogramowania typu wiper, którego celem jest trwałe usuwanie danych i unieruchamianie systemów. Malware ten – nazwany przez badaczy DynoWiper – sklasyfikowano jako Win32/KillFiles.NMO. Jak podkreślają eksperci, nie ma informacji, aby atak przełożył się na skuteczne zakłócenia w działaniu infrastruktury energetycznej, jednak sama próba była istotnym sygnałem ostrzegawczym.
Symboliczna data i znany modus operandi
Szczególną uwagę analityków zwrócił moment przeprowadzenia ataku. Został on zsynchronizowany dokładnie z 10. rocznicą pierwszego w historii blackoutu wywołanego cyberatakiem – incydentu z grudnia 2015 roku w Ukrainie, za który również odpowiadała grupa Sandworm. Wówczas, wykorzystując malware BlackEnergy, cyberprzestępcy przejęli dostęp do systemów sterowania w kilku podstacjach energetycznych, pozbawiając około 230 tysięcy osób dostaw prądu na kilka godzin.
Zdaniem analityków, taki wybór daty nie był przypadkowy i wpisuje się w charakterystyczny dla Sandworm element komunikacji strategicznej – demonstrację zdolności oraz ciągłości operacyjnej.
Rosyjskie APT i infrastruktura krytyczna
Sandworm od lat znajduje się w centrum zainteresowania zespołów zajmujących się cyberbezpieczeństwem. Grupa ta ma długą historię destrukcyjnych ataków, szczególnie wymierzonych w infrastrukturę krytyczną Ukrainy, ale także w inne sektory w Europie Środkowo-Wschodniej. W najnowszym raporcie ESET, dotyczącym aktywności APT w okresie od kwietnia do września 2025 roku, badacze wskazują, że Sandworm regularnie wykorzystywał ataki typu wiper przeciwko celom na Ukrainie.
W tym kontekście próba ataku na polski system energetyczny wpisuje się w szerszy obraz zainteresowania Rosji destabilizacją państw regionu poprzez działania w cyberprzestrzeni. Jak podkreślają eksperci, sam fakt, że atak nie przyniósł bezpośrednich skutków, nie oznacza braku zagrożenia. Wprost przeciwnie – może sugerować etap rozpoznania, testowania podatności lub przygotowania gruntu pod bardziej zaawansowane operacje.
Czujność zamiast samozadowolenia
Eksperci zwracają uwagę, że wykorzystanie złośliwego oprogramowania w tego typu operacjach wymaga szczególnej czujności ze strony pracowników i operatorów infrastruktury krytycznej, zwłaszcza w środowiskach rozproszonych. Sponsorowane przez państwo grupy APT działają metodycznie i długofalowo, a pojedyncza próba ataku może być elementem znacznie szerszej kampanii.
Choć polski sektor energetyczny uniknął w tym przypadku realnych zakłóceń, incydent z końca 2025 roku stanowi wyraźne przypomnienie, że cyberbezpieczeństwo infrastruktury krytycznej pozostaje jednym z kluczowych wyzwań geopolitycznych i technologicznych. Dla operatorów systemów energetycznych oznacza to konieczność nieustannego podnoszenia poziomu zabezpieczeń – także tam, gdzie zagrożenie wydaje się jedynie potencjalne.
