Hackeři z Ruska provedli kyberútok na Polsko a jeho energetiku

9 min. čtení

19 / 02 / 2026

Bezpečnostní experti společnosti ESET identifikovali nový wiper, který útočníci použili v útoku na Polsko a jeho energetickou infrastrukturu.

Shrnutí článku:

Bezpečnostní experti pojmenovali škodlivý kód, kterým útočníci zacílili na energetickou infrastrukturu Polska, jako DynoWiper.
Technické postupy pozorované během kybernetického útoku vykazují výrazné podobnosti s postupy zaznamenanými v předchozím incidentu na Ukrajině, kde byl použitý wiper ZOV.
Jde o ojedinělý a dosud nezdokumentovaný případ, kdy ruská skupina nasadila destruktivní wiper v útoku na polskou energetiku.

Taktiky, techniky a postupy (TTP), kterými se kyberútok malwarem DynoWiper vyznačoval, vykazují výrazné podobnosti s postupy zaznamenanými v předchozím incidentu na Ukrajině, kde útočníci použili wiper ZOV. Z, O a V jsou ruské vojenské symboly. Na základě vysoké míry pravděpodobnosti spojují experti škodlivý kód DynoWiper s ruskou skupinou Sandworm.

Kyberútok v Polsku měl za úkol ničit

Tento kybernetický útok je vzácným a dosud nezdokumentovaným případem, kdy hackeři napojení na Rusko nasadili destruktivní wiper proti energetické společnosti v Polsku. V předchozím roce experti z ESETu analyzovali více než 10 incidentů, které se týkaly destruktivního malwaru připisovaného skupině Sandworm, přičemž téměř všechny se odehrály na Ukrajině.

Bezpečnostní řešení ESET PROTECT s nástrojem rozšířené detekce a reakce (XDR) zablokovalo spuštění wiperu, čímž výrazně omezilo jeho potenciální dopady. Polský CERT, národní tým pro reakci na kybernetické incidenty, tuto událost vyšetřil a výsledky analýzy zveřejnil v podrobné zprávě na svém webu.

Dne 29. prosince 2025 byly vzorky malwaru DynoWiper nasazeny do pravděpodobně sdílené složky v doméně oběti. Je možné, že před nasazením do cílové organizace útočníci operaci testovali na virtuálních zařízeních. Byly nasazeny tři různé vzorky škodlivého kódu, přičemž všechny pokusy o provedení úspěšného kybernetického útoku selhaly.

Nezmeškejte nic důležitého

Získejte přehled o trendech a novinkách ze světa kyberbezpečnosti.

ODEBÍRAT NOVINKY

Polsko je cílem kybernetických útoků jako Ukrajina

DynoWiper přepisuje soubory pomocí 16bajtového paměťového bufferu s náhodnými daty, která jsou vygenerována jednorázově na začátku jeho spuštění. Na nezabezpečeném počítači kompletně přepíše soubory o velikosti 16 bajtů (nebo menší). Aby se proces ničení urychlil, u souborů větších než 16 bajtů se přepisují pouze některé části jejich obsahu. DynoWiper maže soubory na všech vyměnitelných i pevných discích, a nakonec vynutí restart systému, čímž dokončí proces destrukce.

Na rozdíl od jiných škodlivých kódů skupiny Sandworm – jako jsou Industroyer a Industroyer2 – se nově objevené vzorky DynoWiperu zaměřují výhradně na IT prostředí. Neobjevily se žádné funkce zaměřené na průmyslové komponenty operačních technologií. To však nevylučuje možnost, že podobné chování se mohlo objevit jinde v útočném řetězci.

Experti společnosti ESET identifikovali několik podobností s již známým, destruktivním wiperem ZOV, který připisují hackerům ze Sandworm. DynoWiper funguje do značné míry podobně jako wiper ZOV. Zajímavé je, že vyloučení určitých adresářů a zejména jasná logika způsobu mazání menších a větších souborů se objevuje i u wiperu ZOV.

ZOV je destruktivní malware, který ESET zaznamenal v listopadu 2025 při útoku na finanční instituci na Ukrajině. Po spuštění prochází soubory na všech pevných discích a ničí je přepsáním jejich obsahu. Další výskyt wiperu ZOV byl zaznamenán u energetické společnosti na Ukrajině, kde útočníci nasadili tento škodlivý kód 25. ledna 2024.

Přečtěte si také: 5 věcí, které byste měli vědět o útocích typu wiper

Ruští hackeři z GRU

Sandworm je hackerská skupina napojená na Rusko, která provádí destruktivní kybernetické útoky zaměřené na široké spektrum subjektů – vládní instituce, logistické a dopravní firmy, dodavatele energií, mediální organizace, společnosti v obilnářském sektoru a telekomunikační firmy. Součástí těchto útoků je obvykle nasazení wiperů, škodlivého softwaru určeného k ničení souborů, vymazání dat a znemožnění spuštění systémů.

V červnu 2017 spustila skupina Sandworm útok pomocí malwaru NotPetya, který mazal data. K jeho šíření využili dodavatelský řetězec, kdy kompromitovali ukrajinský účetní software M.E.Doc. V únoru 2018 provedla skupina Sandworm útok Olympic Destroyer zaměřený proti organizátorům Zimních olympijských her 2018 v Pchjongčchangu.

V říjnu 2020 obžalovalo Ministerstvo spravedlnosti Spojených států amerických šest ruských hackerů, kteří podle něj připravili a provedli různé útoky v rámci skupiny Sandworm. Skupina je běžně připisována jednotce 74455 ruské vojenské zpravodajské služby GRU.

Kromě firem a institucí na Ukrajině má tato skupina v posledních deseti letech na svědomí také útoky na společnosti v Polsku, včetně těch z energetického sektoru. V říjnu 2022 provedla destruktivní útok proti logistickým společnostem na Ukrajině i v Polsku, přičemž operaci maskovala jako incident s ransomwarem Prestige.

Protože většina útoků APT skupiny Sandworm je aktuálně zaměřena na Ukrajinu, ESET úzce spolupracuje se svými ukrajinskými partnery, včetně ukrajinského týmu CERT, aby jim pomáhal s preventivními i reaktivními opatřeními.