2025年末にポーランドのエネルギーインフラを狙ったサイバー攻撃が、ロシア国家支援の著名なAPTグループによるものと断定された。
Sandworm (別名UAC-0113、APT44、Seashell Blizzard)は、GRUとして知られるロシア軍情報機関の一部だと考えられている。ESETは金曜日の短い声明で、同グループが12月下旬にポーランドの電力網に対して行われた一連の攻撃の背後にいたと主張した。
「攻撃者はワイパーを展開し、私たちはそれを解析してDynoWiperと名付けました。この攻撃の結果として、何らかの成功した妨害が発生したことは把握していません」と、ESETの主任脅威インテリジェンス研究者ロバート・リポフスキー氏は説明した。
「マルウェアおよび関連するTTPの分析に基づき、私たちはこの攻撃をロシアに同調するSandworm APTによるものと、中程度の確度で帰属させます。これは、私たちが解析してきた過去のSandwormによる多数のワイパー活動と強い重なりがあるためです。」
Sandwormについてさらに読む:ロシアのAPT「Sandworm」は新たなOT手法を用いてウクライナの電力を妨害した。
ポーランドのエネルギー資産に対するこのキャンペーンは現在も調査中だが、リポフスキー氏は「協調的なサイバー攻撃」のタイミングは意図的である可能性があると述べた。
「これは、Sandwormが主導したウクライナの電力網への攻撃――史上初のマルウェアによって引き起こされた2015年12月の停電――から10周年に当たります」と同氏は述べた。「このAPTグループがBlackEnergyマルウェアを用いて複数の変電所の重要システムにアクセスした際、約23万人が数時間にわたり電力を失いました。」
Sandwormは、2022年のロシアによるウクライナ侵攻以降、非常に活発に活動しており、ウクライナ国内のエネルギーインフラを複数回にわたり標的にしてきた。2024年3月には、ミサイル攻撃の影響を増幅させる狙いで、戦禍にある同国の10地域においてエネルギー、暖房、水道施設を攻撃した。
その後、2025年の第2四半期および第3四半期の両方で、ZerolotやStingといったデータワイパーを展開し、政府、エネルギー、物流関連の組織を攻撃した。こうした攻撃の長期的な目的は、経済を弱体化させ、住民の士気をくじくことで、政府にプーチン政権の要求を受け入れさせることにある。
警戒を強めるポーランド
ポーランドのドナルド・トゥスク首相は今月初め、数週間前に自国のエネルギーインフラに対する破壊的攻撃を成功裏に撃退したことを明らかにした。
「今日のポーランドにあるシステムは有効であることが証明されました」と同氏は述べた。「送電網をはじめ、システム全体の安全を左右するあらゆるものを含め、重要インフラが脅かされることは一度もありませんでした。」
しかし政府は、リスク管理、ITおよびOTセキュリティ、インシデント対応に関するより厳格な要件を義務付けるため、NIS2の国内実装に当たる「国家サイバーセキュリティシステム法」の最終化を急いでいる。
「この法律をできるだけ早く施行したい」と、トゥスク氏は述べた。「私たちは、外国国家が介入し情報を入手しやすくするようなシステムや機器から市場を守るためのツールを、ポーランドの機関に備えさせます。私たちは、安全保障システムの自律性とポーランド化を目指しています。」
攻撃自体は2025年12月29日と30日に発生し、どうやら2つの熱電併給(CHP)プラントと再生可能エネルギーシステムを標的にしていたようだ。
翻訳元: https://www.infosecurity-magazine.com/news/wiper-attack-polish-power-grid/
