December utolsó hetére időzítve az utóbbi évek legnagyobb, ám sikertelen, kibertámadását hajtották végre a lengyel energiarendszer ellen, jelentette be január közepén a sajtónak a varsói kormány energiaügyi minisztere, Miłosz Motyka. A támadók a megújuló energiatermelő létesítmények és az energiaelosztók közötti kommunikációt próbálták megzavarni. A miniszter a felelősöket nem nevezte meg, de a napokban megtette helyette ezt az ESET Research. A pozsonyi székhelyű kiberbiztonsági cég kutatói az orosz kormány támogatását élvező Sandworm nevű APT (Advanced Persistent Threat) csapatot azonosították a támadás mögött.

Az elemzők erős átfedéseket és hasonlóságokat találtak a mostani támadás és a Sandwormhoz köthető korábbi támadások során alkalmazott eszközökben és módszerekben, közölte a kiberbiztonsági cég kutató részlege múlt pénteken.

Nem ma kezdték

A Sandwormról legalább tíz éve tudják, hogy szereti az áramot, különösen ha az az áram ukrán. Első jelentős akciójukkal az ország energiahálózatot akarták megbénítani 2015-ben. Három évvel később a brit kormány hivatalosan is felszólalt az orosz katonai hírszerzéshez köthető kiberbűnöző csoportok, köztök a Sandworm tevékenysége ellen.

A hekkercsapat a következő években is rendre feltűnik az Ukrajna elleni támadásokban. 2022-ben a Industroyer nevű kártevővel energetikai rendszereket támadtak, majd még ugyanabban az évben a RansomBoggs néven emlegetett zsarolóprogrammal próbálták megbénítani különböző kormányzati szervek munkáját. A Sandworm az első számú gyanúsítottja annak a támadásnak is, amely két éve hosszú időre megbénította a legnagyobb ukrán mobilszolgáltató rendszereit.

A Lenygelország elleni decemberi támadást épp a 10 évvel ezelőtti, az ukrán hálózatot célzó támadás évfordulójára időzítették. Most egy elsősorban adattörlésre alkalmas kártevőt használtak, melyet az ESET biztonsági megoldásai DynoWipert Win32/KillFiles.NMO néven azonosítanak.

Az ESET a 2015-ös ukrajnai incidens óta folyamatosan figyeli a Sandworm tevékenységét: az APT csapat szinte mindig a kritikus infrastrukturákat támadja, működési intenzitása pedig mit sem csökkent. Első számú célpontja Ukrajna, de mint a decemberi incidens is mutatja, a Kijevet támogató országok sem érezhetik magukat biztonságban, írták a cég kutatói.

Mint a Reuters a varsói bejelentés kapcsán Miłosz Motykára hivatkozva írta, az orosz katonai hírszerzés tavaly megháromszorozta a Lengyelország elleni akciókra szánt erőforrásait. Tavaly az első három negyedévben 170 ezer kiberbiztonsági incidenst azonosítottak. Ezek jelentős része mögött orosz szereplőket sejtenek.