DynoWiper Malware
In der letzten Dezemberwoche 2025 wurde der russischen Hackergruppe Sandworm der bis dato größte Cyberangriff auf das polnische Stromnetz zugeschrieben. Der Vorfall ereignete sich in den letzten Tagen des Jahres und wurde von den nationalen Behörden als der heftigste Angriff auf die Energieinfrastruktur des Landes seit Jahren bestätigt.
Trotz des Umfangs und der Raffinesse der Operation verlief der Angriff erfolglos. Polens Energieminister Milošz Motyka bestätigte, dass es zu keinen Unterbrechungen der Stromversorgung gekommen sei.
Inhaltsverzeichnis
Kritische Infrastruktur unter direktem digitalen Beschuss
Die am 29. und 30. Dezember 2025 entdeckten Angriffe richteten sich gegen zwei Blockheizkraftwerke (BHKW) und ein System zur Verwaltung von Strom aus erneuerbaren Energien, darunter Windkraftanlagen und Photovoltaikparks. Die militärischen Cyberstreitkräfte bezeichneten die Aktivitäten als die schwerste feindliche Cyberkampagne gegen die polnische Energieinfrastruktur seit Langem.
Die Forscher, die den Vorfall analysierten, berichteten von keinen Anzeichen dafür, dass der Sabotageversuch irgendeine operative Auswirkung hatte.
DynoWiper erweist sich als neues Zerstörungswerkzeug
Laut einem kürzlich veröffentlichten Bericht von IT-Sicherheitsexperten wurde bei der Operation eine bisher unbekannte Löschsoftware namens DynoWiper eingesetzt, die auch unter der Bezeichnung Win32/KillFiles.NMO geführt wird. Die Zuordnung zu Sandworm basiert auf technischen und verhaltensbezogenen Überschneidungen mit früheren zerstörerischen Kampagnen desselben Angreifers, insbesondere solchen, die nach Russlands großangelegtem Einmarsch in die Ukraine im Februar 2022 durchgeführt wurden.
Der Scheibenwischer wurde im Rahmen eines koordinierten Versuchs zur Störung des polnischen Energiesektors eingesetzt, was auf fortgesetzte Investitionen des Bedrohungsakteurs in speziell entwickelte Werkzeuge zur Sabotage von Infrastrukturen hindeutet.
Reaktion der Regierung und regulatorische Gegenmaßnahmen
Die polnischen Behörden erklärten, alle Indizien deuteten auf Gruppen hin, die in direktem Zusammenhang mit russischen Diensten stünden. Die Regierung bereitet daraufhin zusätzliche Sicherheitsvorkehrungen vor, darunter die Weiterentwicklung wichtiger Gesetze zur Cybersicherheit. Die geplanten Maßnahmen sollen strengere Anforderungen an das Risikomanagement, den Schutz von IT- und OT-Systemen sowie den Umgang mit Cyberangriffen auf kritische Infrastrukturen stellen.
Ein symbolträchtiges Datum mit historischer Bedeutung
Der Zeitpunkt der Aktivität war von besonderer Bedeutung. Der versuchte Angriff auf das polnische Stromnetz fiel mit dem zehnten Jahrestag des verheerenden Sandworm-Angriffs auf das ukrainische Stromnetz im Dezember 2015 zusammen. Bei dieser früheren Kampagne wurde die BlackEnergy-Malware eingesetzt, um eine zerstörerische Komponente namens KillDisk zu installieren. Dies führte zu Stromausfällen von vier bis sechs Stunden Dauer und legte rund 230.000 Einwohner in der Region Iwano-Frankiwsk lahm.
Ein Jahrzehnt anhaltender Störungen
Sandworm ist seit Langem für seine Angriffe auf kritische Infrastrukturen bekannt, insbesondere in der Ukraine. Zehn Jahre nach dem Stromausfall von 2015 verfolgt die Gruppe weiterhin Zerstörungsziele in verschiedenen Sektoren.
Im Juni 2025 gaben Forscher bekannt, dass eine ukrainische Organisation für kritische Infrastruktur von einer bis dahin unbekannten Datenlösch-Malware namens PathWiper angegriffen worden war. Diese wies funktionale Ähnlichkeiten zu HermeticWiper auf, einem weiteren mit dem Sandworm in Verbindung stehenden Tool. Im selben Jahr wurde beobachtet, wie die Gruppe weitere zerstörerische Malware-Familien, darunter ZEROLOT und Sting, in einem ukrainischen Universitätsnetzwerk einsetzte. Zwischen Juni und September 2025 folgte eine breitere Welle von Datenlöschangriffen auf ukrainische Regierungsstellen sowie Unternehmen aus den Bereichen Energie, Logistik und Getreidewirtschaft.
Strategische Implikationen für die Verteidigung im Energiesektor
Der versuchte Angriff auf das polnische Energiesystem bestärkt die Einschätzung, dass Sandworm weiterhin auf Cyberangriffe mit realen Folgen abzielt. Das Auftreten von DynoWiper und einer wachsenden Anzahl ähnlicher Schadsoftware verdeutlicht die kontinuierliche Weiterentwicklung zerstörerischer Malware und unterstreicht die Dringlichkeit für Energieversorger, ihre Resilienz, Überwachung und koordinierten Reaktionsmechanismen in IT- und OT-Umgebungen zu stärken.
