Aralık 2025’in sonlarında Polonya’nın enerji altyapısının bazı bölümlerini hedef alan bir siber saldırı, Rusya devletine yakın hack grubu Sandworm ile bağlantılı olsa da, yetkililer bu çabanın enerji sistemlerini bozmada başarılı olmadığını söylüyor. Güvenlik araştırmacıları, kullanılan kötü amaçlı yazılımın analizi ve grubun önceki operasyonlarıyla benzerliklerine dayanarak bu girişimi Sandworm’a bağlıyor.
Saldırı, 29 ve 30 Aralık 2025’te, iki birleşik ısı ve enerji santrali ile rüzgar türbinleri ile güneş tesisleri gibi yenilenebilir kaynaklardan elektrik yönetiminde kullanılan bir sisteme karşı DynoWiper olarak bilinen kötü amaçlı yazılımın kullanılmasıyla gerçekleşti. DynoWiper, verileri silmek ve enfekte sistemleri çalıştırıldığında kullanılamaz hale getirmek için tasarlanmış bir tür “silecek” kötü amaçlı yazılımdır. Güvenlik firması ESET, kötü amaçlı yazılım örneklerini analiz etti ve bu faaliyeti orta güvenle Sandworm’a atfetti; daha önce grupla ilişkilendirilen yıkıcı araçlarla örtüşmeleri belirtti.
Polonyalı yetkililer olayı ülkenin enerji altyapısına yönelik ciddi bir siber saldırı olarak nitelendirdi. Polonya enerji bakanı Milosz Motyka, saldırının son yıllarda görülen “en güçlü” saldırı olduğunu, ancak savunmaların dayandığını ve kötü amaçlı yazılımın amaçlanan etkiyi gerçekleştirmediğini söyledi. Araştırmacılar ve hükümet temsilcileri, kötü amaçlı yazılım dağıtımı nedeniyle herhangi bir operasyonel kesinti yaşanmadığını bildirdi.
Sandworm, siber güvenlik firmaları tarafından UAC-0113 ve APT44 gibi takip edilen, Rusya’nın askeri istihbarat birimi (GRU) ile bağlantıları olan ve kritik altyapıyı hedef alan uzun bir siber operasyon geçmişine sahip ulus-devlet tehdit aktörü olarak geniş çapta kabul edilmektedir. Grup daha önce enerji sistemlerine yönelik yıkıcı saldırılarla bağlantılı olmuştu; bunlar arasında 2015’te Ukrayna’nın elektrik şebekesine yapılan silecek saldırısı da vardı ve bu saldırı yaklaşık 230.000 müşterinin kesintisine yol açtı.
Polonya yetkilileri ve araştırmacılar, saldırganların enerji sistemlerine ilk erişimini nasıl sağladıklarına dair tam teknik detayları veya müdahalenin zaman çizelgesini açıklamadı. ESET analizi, kötü amaçlı yazılımın “taktikleri, teknikleri ve prosedürleri” benzerliklerinin, 2025 boyunca diğer kampanyalarda silecek kötü amaçlı yazılım kullanma siciline sahip Sandworm’a atfedilmesini desteklediğini belirtti.
Saldırının zamanlaması, 2015 Ukrayna elektrik şebeği hackinden neredeyse on yıl sonra gerçekleşen ve Sandworm ile bağlantılı olup, siber güvenlik analistlerinin dikkatini çekti. Polonya Başbakanı Donald Tusk, yetkililerin siber savunmaları güçlendirmeye ve uluslararası ortaklarla birlikte kritik altyapıyı benzer tehditlerden korumak için çalışmaya devam edeceğini söyledi.