2025 yılının sonlarında Polonya’nın enerji sistemi, yıllardır ülkeyi hedef alan en büyük siber saldırı olarak tanımlanan bir saldırıyla karşı karşıya kaldı. Saldırının Rusya bağlantılı kötü şöhretli APT grubu Sandworm’un işi olduğunu ortaya çıktı.
Sandworm, özellikle Ukrayna’nın kritik altyapısına yönelik yıkıcı siber saldırılar konusunda uzun bir geçmişe sahip. Aralık ayının son haftasında Polonya’nın elektrik şebekesine yapılan saldırıda, güvenlik uzmanlarının analiz ettiği ve DynoWiper olarak adlandırdığı veri silme kötü amaçlı yazılımı kullanıldı. Güvenlik çözümleri, DynoWiper’ı Win32/KillFiles.NMO olarak algılıyor.
Güvenlik uzmanları araştırmacıları, kötü amaçlı yazılım ve ilgili TTP’leri analiz ettikten sonra saldırının Rusya yanlısı Sandworm APT’ye ait olduğunu düşündüklerini bunun nedeninin ise analiz edilen önceki birçok Sworm wiper faaliyetiyle büyük ölçüde örtüşmesi olduğunu belirtti.
Hedeflenen etkiyle ilgili ayrıntılar hâlâ araştırılmaya devam ederken araştırmacıları, koordineli saldırının Sandworm’un Ukrayna elektrik şebekesine düzenlediği ve kötü amaçlı yazılımların neden olduğu ilk elektrik kesintisine yol açan saldırının 10’uncu yıl dönümünde gerçekleştiğini vurguladılar. 2015 yılının Aralık ayında, BlackEnergy kötü amaçlı yazılımını kullanarak birkaç elektrik trafo merkezindeki kritik sistemlere erişim sağlamış ve yaklaşık 230 bin kişi birkaç saat boyunca elektriksiz kalmıştı.
On yıl sonra Sandworm, özellikle Ukrayna’da çeşitli kritik altyapı sektörlerinde faaliyet gösteren kuruluşları hedef almaya devam ediyor. Güvenlik araştırmacıları, Nisan-Eylül 2025 dönemini kapsayan en son APT Faaliyet Raporu’nda, saldırının Ukrayna’daki hedeflerine düzenli olarak wiper saldırıları düzenlediğini tespit ettiklerini belirtti.
