Rola EDR w obronie przed atakami destrukcyjnymi: Przypadek ataku na elektrociepłownię i polski sektor energetyczny

Przebieg incydentu według CERT Polska i ESET

29 grudnia 2025 roku doszło do skoordynowanych ataków destrukcyjnych w polskim sektorze energetycznym. Cele obejmowały co najmniej 30 farm wiatrowych i fotowoltaicznych, dużą elektrociepłownię dostarczającą ciepło dla prawie pół miliona odbiorców oraz firmę z sektora produkcyjnego.

Na farmach OZE atakujący uzyskali dostęp do sieci wewnętrznych stacji elektroenergetycznych, przeprowadzili rekonesans i uszkodzili urządzenia takie jak sterowniki RTU, HMI, zabezpieczenia oraz serwery komunikacyjne, przerywając zdalną komunikację, choć nie produkcję energii. W elektrociepłowni poprzedziła to długotrwała infiltracja z kradzieżą danych i uzyskaniem dostępu uprzywilejowanego. Próbowano uruchomić wipera w folderze sieciowym, ale wszystkie trzy próby zakończyły się niepowodzeniem dzięki EDR.

Charakterystyka DynoWipera - analiza ESET

ESET zidentyfikował DynoWiper jako nowy malware typu wiper, skupiony wyłącznie na środowisku IT (brak funkcji OT jak w Industroyer). Działa poprzez nadpisywanie plików 16-bajtowym buforem losowych danych – w całości dla plików ≤16 bajtów, fragmentarycznie dla większych – czyści dyski stałe i wymienne, po czym wymusza restart. Próbki umieszczono w zasobie sieciowym domeny ofiary, prawdopodobnie po testach na maszynach wirtualnych.

TTP DynoWipera wykazują bliskie podobieństwo do wipera ZOV (użytego w Ukrainie w styczniu 2024 i listopadzie 2025), w tym logikę nadpisywania plików i wykluczenia katalogów. ESET przypisuje go grupie Sandworm (medium confidence), powiązanej z Rosją, odpowiedzialnej za ponad 10 incydentów destrukcyjnych w 2025, głównie w Ukrainie. To pierwszy udokumentowany przypadek użycia wipera przez tę grupę przeciwko polskiej energetyce.

Dlaczego EDR pełni istotną rolę w takich incydentach

EDR (Endpoint Detection and Response) jest kluczowe w środowiskach krytycznych, ponieważ zapewnia detekcję i blokadę nieznanych zagrożeń poprzez analizę behawioralną TTP, a nie tylko sygnatur. W elektrociepłowni ESET PROTECT zablokował DynoWipera przed aktywacją destrukcyjną, mimo długotrwałej infiltracji i dostępu uprzywilejowanego atakujących – wszystkie trzy próby instalacji zakończyły się niepowodzeniem. W przeciwieństwie do tradycyjnych antywirusów, EDR monitoruje w czasie rzeczywistym anomalie jak przeszukiwanie dysków czy nadpisywanie plików, co jest niezbędne przeciw wiperom Sandworm, których sygnatury mogą być nieznane przed pierwszym użyciem. Integracja XDR rozszerza ochronę na sieć i chmurę, ograniczając blast radius w hybrydowych środowiskach IT/OT.

Blokada ataku przez EDR/XDR ESET PROTECT

Rozwiązanie EDR/XDR ESET PROTECT zablokowało uruchomienie DynoWipera, znacząco ograniczając skutki i uniemożliwiając nieodwracalne zniszczenia danych. CERT Polska potwierdza, że mimo dostępu uprzywilejowanego atakujący nie osiągnęli sabotażu w postaci przerw w dostawie ciepła. To kontrastuje z sukcesami ataków na OZE, gdzie brak podobnej ochrony pozwolił na uszkodzenia firmware'u.