ロシア国家支援のAPT「Sandworm(サンドワーム)」が、2025年12月にポーランドの電力網を標的としたサイバー攻撃の背後にいたと、サイバーセキュリティ企業ESETが報告した。
ポーランドのエネルギーインフラ(2つの熱電併給(CHP)プラントおよび再生可能エネルギー管理システムを含む)は、12月29〜30日にハッカーの標的となり、ポーランド当局はこの攻撃についてロシアを非難した。
ポーランドに対する近年最大のサイバー攻撃だったとされる2025年12月のこの事件は、停電を引き起こしたり重要インフラを侵害したりする前に阻止されたと、同国当局は今月初めに述べていた。
この攻撃は、サンドワームがBlackEnergyマルウェアを用いてウクライナの電力網に対する破壊的攻撃を実行し、イヴァノ=フランキウシク地域で複数の停電を引き起こしてから10年後に発生した。
少なくとも2009年から活動しているこの脅威アクターは、ロシア軍参謀本部情報総局(GRU)の軍部隊74455と関連しているとみられている。
APT44、BlackEnergy Lite、Seashell Blizzard、Telebots、Voodoo Bearとしても知られるSandwormは、諜報および情報作戦に加え、サイバー妨害でも悪名高くなっている。
ESETによれば、使用されたマルウェアと関連するTTPに基づき、このAPTが2025年12月のポーランド電力網へのサイバー攻撃の背後にいた可能性が最も高いという。
同サイバーセキュリティ企業は、サンドワームがこの攻撃で新たなデータワイパーを展開したものの、妨害は引き起こさなかったと述べた。攻撃の意図された影響は、まだ特定されていない。
「この攻撃の結果として、何らかの妨害が成功したことは把握していない」と、ESETは述べた。
DynoWiper(Win32/KillFiles.NMO)と名付けられたこのマルウェアは、これまでのサンドワームによるワイパー攻撃と整合すると、同社は指摘した。この脅威に関する技術的詳細は公表されていない。
ポーランドへの攻撃と、サンドワームによるウクライナ電力網攻撃の記念日との関連を強調しつつ、ESETは、このAPTがウクライナの標的に対して定期的にワイパー攻撃を継続していると指摘した。
「10年が経過した現在も、サンドワームはさまざまな重要インフラ分野で事業を行う組織、特にウクライナにおいて、引き続き標的にしている」とESETは述べた。
翻訳元: https://www.securityweek.com/russian-sandworm-hackers-blamed-for-cyberattack-on-polish-power-grid/
