Sandworm olarak bilinen Rus ulus-devlet hack grubu, Aralık 2025’in son haftasında Polonya’nın enerji sistemini hedef alan “en büyük siber saldırı” olarak tanımlanan olaya atfedildi.
Ülkenin Enerji Bakanı Milosz Motyka geçen hafta yaptığı açıklamada, saldırının başarısız olduğunu söyledi.
Motyka’nın, “Siberuzay kuvvetleri komutanlığı yılın son günlerinde enerji altyapısına yönelik son yılların en güçlü saldırısını teşhis etti.” dedi.
ESET tarafından hazırlanan yeni bir rapora göre saldırı, kod adı daha önce belgelenmemiş bir temizleme zararlı yazılımı olan Sandworm’un işiydi. DynoWiper. Sandworm ile olan bağlantılar, özellikle Rusya’nın Şubat 2022’de Ukrayna’yı askeri işgalinin ardından, düşmanla ilişkili önceki silme faaliyetleriyle örtüşmelere dayanıyor.
Silecek kullanımının 29 Aralık 2025’te Polonya enerji sektörünü hedef alan yıkıcı saldırı girişiminin bir parçası olduğunu tespit eden Slovak siber güvenlik şirketi, başarılı bir kesintiye dair hiçbir kanıt bulunmadığını söyledi.
Polonya hükümeti, 29 ve 30 Aralık 2025’teki saldırıların iki kombine ısı ve güç (CHP) santralinin yanı sıra rüzgar türbinleri ve fotovoltaik çiftlikler gibi yenilenebilir enerji kaynaklarından üretilen elektriğin yönetimini sağlayan bir sistemi hedef aldığını söyledi.
Başbakan Donald Tusk, “Her şey, bu saldırıların doğrudan Rus hizmetleriyle bağlantılı gruplar tarafından hazırlandığını gösteriyor” dedi ve hükümetin, risk yönetimi, bilgi teknolojisi (IT) ve operasyonel teknoloji (OT) sistemlerinin korunması ve olaylara müdahale konusunda katı gereklilikler uygulayacak önemli bir siber güvenlik mevzuatı da dahil olmak üzere ekstra önlemler hazırladığını da sözlerine ekledi.
Etkinliğin, Sandworm’un Aralık 2015’te Ukrayna elektrik şebekesine saldırısının onuncu yıldönümünde gerçekleştiğini ve bu saldırının BlackEnergy kötü amaçlı yazılımının yayılmasına yol açarak Ukrayna’nın Ivano-Frankivsk bölgesinin bazı kısımlarını karanlığa sürüklediğini belirtmekte fayda var.
KillDisk adlı kötü amaçlı yazılımı yerleştirmek için kullanılan truva atı, yaklaşık 230.000 kişinin 4-6 saatlik elektrik kesintisine neden oldu.
ESET, “Sandworm’un özellikle Ukrayna’nın kritik altyapısına yönelik yıkıcı siber saldırılarla ilgili uzun bir geçmişi var” dedi. “On yıl boyunca hızlı bir şekilde ilerleyin ve Sandworm, çeşitli kritik altyapı sektörlerinde faaliyet gösteren kuruluşları hedeflemeye devam ediyor.”
Haziran 2025’te Cisco Talos, Ukrayna’daki kritik bir altyapı kuruluşunun, Sandworm’un HermeticWiper’ıyla belirli düzeyde işlevsel örtüşmeyi paylaşan PathWiper adlı daha önce görülmemiş bir veri silme kötü amaçlı yazılımının hedef aldığını söyledi.
Rus bilgisayar korsanlığı grubunun ayrıca Ukrayna’daki bir üniversite ağında ZEROLOT ve Sting gibi verileri silen kötü amaçlı yazılımları dağıttığı ve ardından Haziran ve Eylül 2025 arasında hükümet, enerji, lojistik ve tahıl sektörlerinde faaliyet gösteren Ukraynalı kuruluşlara karşı birden fazla veri silmeye yönelik kötü amaçlı yazılım varyantı sunduğu gözlemlendi.