2025年12月下旬にポーランドの送電網を標的としたサイバー攻撃が、ロシアの国家支援ハッキンググループSandwormに関連付けられた。この攻撃では、DynoWiperと呼ばれる新たな破壊的データ消去マルウェアを展開しようとしたという。
Sandworm(UAC-0113、APT44、Seashell Blizzardとしても追跡)は、2009年から活動しているロシアの国家系ハッキンググループだ。同グループは、ロシア連邦軍参謀本部情報総局(GRU)の軍部隊74455の一部であるとみられており、混乱を引き起こす破壊的攻撃を実行することで知られている。
ほぼちょうど10年前、Sandwormはウクライナのエネルギー網に対して破壊的なデータ消去攻撃を実施し、約23万人が停電に見舞われた。
ESETによると、Sandwormは現在、DynoWiperと呼ばれるデータワイパーを使用した12月29〜30日のポーランドのエネルギーインフラへの攻撃に関連付けられているという。
データワイパーは実行されると、ファイルシステムを巡回してファイルを削除する。完了するとOSは使用不能となり、バックアップから再構築するか再インストールする必要がある。
プレス声明で、ポーランド当局は、この攻撃が2つの熱電併給(CHP)発電所と、風力タービンや太陽光発電所などの再生可能エネルギー源から生成される電力を制御するために使用される管理システムを標的にしていたと述べた。
「あらゆる状況から、これらの攻撃はロシアの機関と直接つながるグループによって準備されたことが示されている」と、ポーランドのドナルド・トゥスク首相は記者会見で述べた。
ESETはDynoWiperに関する技術的詳細をあまり共有しておらず、同社のアンチウイルスがこれをWin32/KillFiles.NMOとして検知すること、そしてSHA-1ハッシュが4EC3C90846AF6B79EE1A5188EEFA3FD21F6D4CF6であることを述べるにとどまっている。
BleepingComputerは、VirusTotal、Triage、Any.Run、その他のマルウェア投稿サイトにアップロードされた当該ワイパーのサンプルを見つけることができなかった。
脅威アクターがポーランドのシステム内にどれほどの期間潜伏していたのか、またどのように侵害されたのかは不明だが、Team Cymruのシニア脅威インテリジェンスアドバイザーであるWill Thomas(別名BushidoToken)は、防御側に対しSandwormに関するMicrosoftの2025年2月のレポートを読むことを推奨している。
より最近では、2025年6月と9月にウクライナの教育、政府、穀物部門を標的とした破壊的データ消去攻撃に、Sandwormが関連付けられた。
