Nové detaily o kyberútoku v Poľsku, ESET objavil ničivý wiper nasadený ruskými hackermi
Výskumníci spoločnosti ESET identifikovali nový škodlivý softvér na vymazávanie dát, ktorý nazvali DynoWiper a ktorý bol použitý proti energetickej spoločnosti v Poľsku.
- Výskumníci spoločnosti ESET identifikovali nový malvér na vymazávanie dát (wiper), ktorý pomenovali DynoWiper a ktorý bol použitý proti energetickej spoločnosti v Poľsku.
- Technické postupy pozorované počas incidentu s DynoWiperom vykazujú výrazné podobnosti s postupmi zaznamenanými v predchádzajúcom incidente na Ukrajine pri použití wiperu ZOV.
- Ide o ojedinelý a doposiaľ nezdokumentovaný prípad, v ktorom ruská skupina nasadila deštruktívny wiper proti energetickej spoločnosti v Poľsku.
Taktiky, techniky a postupy (TTP) pozorované počas incidentu s DynoWiperom vykazujú výrazné podobnosti s postupmi zaznamenanými v predchádzajúcom incidente na Ukrajine pri použití wiperu ZOV. Z, O a V sú ruské vojenské symboly. Výskumníci spoločnosti ESET pripisujú DynoWiper so strednou mierou istoty ruskej skupine Sandworm.
Tento incident predstavuje zriedkavý a doteraz nezdokumentovaný prípad, v ktorom hackerská skupina spriaznená s Ruskom nasadila deštruktívny wiper proti energetickej spoločnosti v Poľsku. V predchádzajúcom roku ESET analyzoval viac ako 10 incidentov týkajúcich sa deštruktívneho malvéru pripisovaného skupine Sandworm, z ktorých takmer všetky sa odohrali na Ukrajine.
Bezpečnostné riešenie ESET PROTECT s nástrojom rozšírenej detekcie a reakcie (XDR) zablokovalo spustenie wiperu, čím výrazne obmedzilo jeho možné dopady. CERT Polska, národný tím pre reakciu na kybernetické incidenty v Poľsku, incident vyšetril a výsledky svojej analýzy uverejnil v podrobnej správe, ktorá je k dispozícii na jeho webovej stránke.
Dňa 29. decembra 2025 boli vzorky DynoWiper nasadené do pravdepodobne zdieľaného adresára v doméne obete. Je možné, že predtým, ako útočníci nasadili malvér do cieľovej organizácie, otestovali operáciu na virtuálnych zariadeniach. Nasadené boli tri odlišné vzorky, pričom všetky pokusy zlyhali.
DynoWiper prepisuje súbory pomocou 16-bajtového pamäťového buffera obsahujúceho náhodné dáta, ktoré sú vygenerované jednorazovo na začiatku jeho spustenia. Na nechránenom počítači sú súbory s veľkosťou 16 bajtov alebo menej úplne prepísané. Aby sa urýchlil proces ničenia, súbory väčšie ako 16 bajtov majú prepísané len niektoré časti svojho obsahu. DynoWiper vymaže súbory na všetkých vymeniteľných a pevných diskoch a nakoniec vynúti reštart systému, čím dokončí proces deštrukcie.
Na rozdiel od iných škodlivých kódov z dielne skupiny Sandworm, vrátane Industroyer a Industroyer2, novo objavené vzorky DynoWiper sa zameriavajú výlučne na IT prostredie, pričom neboli pozorované žiadne funkcie zamerané na priemyselné komponenty operačných technológií. To však nevylučuje možnosť, že takéto schopnosti boli prítomné inde v reťazci útoku.
Výskumníci spoločnosti ESET identifikoval niekoľko podobností s už známym deštruktívnym malvérom, konkrétne s wiperom ZOV, ktorý ESET s vysokou mierou istoty pripisuje Sandwormu. DynoWiper funguje vo veľkej miere podobne ako wiper ZOV. Zaujímavé je, že vylúčenie určitých adresárov a najmä jasná logika spôsobu vymazania menších a väčších súborov sa nachádza aj vo wiperi ZOV. ZOV je deštruktívny malvér, ktorý ESET zaznamenal v novembri 2025 pri útoku na finančnú inštitúciu na Ukrajine. Wiper ZOV po spustení prechádza súbory na všetkých pevných diskoch a vymazáva ich prepísaním ich obsahu. Ďalší prípad wiperu ZOV sa vyskytol v energetickej spoločnosti na Ukrajine, kde útočníci nasadili škodlivý kód 25. januára 2024.
Sandworm je hackerská skupina napojená na Rusko, ktorá vykonáva ničivé útoky zamerané na širokú škálu subjektov, vrátane vládnych inštitúcií, logistických spoločností, dopravných firiem, dodávateľov energie, mediálnych organizácií, spoločností v sektore obilnín a telekomunikačných spoločností. Tieto útoky zvyčajne zahŕňajú nasadenie škodlivého softvéru typu wiper – škodlivého softvéru určeného na mazanie súborov, vymazanie údajov a znemožnenie spustenia systémov.
Okrem Ukrajiny mala táto skupina počas uplynulých desiatich rokov na svedomí útoky na spoločnosti v Poľsku, vrátane tých v energetickom sektore. V októbri 2022 vykonala deštruktívny útok proti logistickým spoločnostiam na Ukrajine aj v Poľsku, pričom operáciu zamaskovala ako incident s ransomvérom Prestige. Keďže väčšina kybernetických útokov Sandwormu je v súčasnosti zameraná na Ukrajinu, ESET úzko spolupracuje so svojimi ukrajinskými partnermi, vrátane ukrajinskej organizácie CERT, aby im pomohol s preventívnymi aj reaktívnymi opatreniami.
Podrobnejšiu technickú analýzu malvéru DynoWiper nájdete v najnovšom blogu na WeLiveSecurity.
Podobné články
3. februára 2026
1m
Spoločnosť Imperial Tobacco Slovakia sa mení na Imperial Brands Slovakia
3. februára 2026
2m
Juraj Pétery sa stal novým výkonným riaditeľom TULIP Solutions
2. februára 2026
2m
Kampaň Samsungu „Otvorenosť vždy víťazí“ ožíva v Miláne
2. februára 2026
4m
Najväčší dojazd a najkratšie nabíjanie. Čo Slováci čakajú od elektromobilu?
2. februára 2026
3m