Cảnh Báo: Cuộc Tấn Công Mạng Năng Lượng Ba Lan của Sandworm

Vào cuối tháng 12 năm 2025, một cuộc tấn công mạng quy mô lớn đã nhắm vào hạ tầng năng lượng của Ba Lan. Đây được các chuyên gia bảo mật đánh giá là sự cố an ninh mạng nghiêm trọng nhất tại quốc gia này trong nhiều năm, gây ra những rủi ro vận hành đáng kể cho các hệ thống điện.

Nhóm Tấn Công Sandworm và Mục Tiêu Hạ Tầng Năng Lượng

Nhóm Sandworm, khét tiếng với các chiến dịch tấn công hạ tầng quan trọng, đã được xác định là thủ phạm đứng sau cuộc tấn công phối hợp này. Nhóm đã triển khai một payload mã độc xóa dữ liệu chưa từng được ghi nhận trước đây, sau đó được đặt tên là DynoWiper.

Sự kiện này đánh dấu một bước leo thang đáng kể trong các căng thẳng khu vực, đặc biệt khi nó diễn ra đúng dịp kỷ niệm mười năm Sandworm thực hiện cuộc tấn công tàn khốc vào lưới điện Ukraine năm 2015. Vụ việc năm 2015 đã gây ra sự cố mất điện do mã độc đầu tiên trên thế giới, khiến khoảng 230.000 người mất điện.

Thời điểm tấn công cho thấy một lựa chọn chiến lược có chủ ý từ các tác nhân đe dọa, nhằm phô diễn khả năng của họ vào một thời điểm mang tính biểu tượng cao. Mặc dù hệ thống điện của Ba Lan đối mặt với rủi ro vận hành thực sự khi mã độc lây lan, các đánh giá kỹ thuật sau đó đã không xác nhận được sự gián đoạn hoạt động nào.

DynoWiper: Mã Độc Xóa Dữ Liệu Nguy Hiểm

Các nhà phân tích của WeLiveSecurity và nhà nghiên cứu từ ESET đã phát hiện ra DynoWiper trong quá trình phân tích pháp y chi tiết các thành phần kỹ thuật của cuộc tấn công.

Họ đã gán cho mã độc này chữ ký phát hiện là Win32/KillFiles.NMO trong các giải pháp bảo mật của mình, xác nhận vai trò của nó là payload hủy diệt chính.

Những phát hiện này đến từ một cuộc điều tra toàn diện về cấu trúc mã của mã độc và mối liên hệ của nó với các kỹ thuật hoạt động đã được thiết lập của Sandworm. Để biết thêm chi tiết về nghiên cứu này, bạn có thể tham khảo báo cáo của ESET: ESET Research: Sandworm cyberattack on Poland power grid in late 2025.

Cơ Chế Hoạt Động Của DynoWiper

DynoWiper hoạt động như một công cụ phá hủy tệp được thiết kế để ghi đè và loại bỏ dữ liệu quan trọng trên các hệ thống bị nhiễm. Thiết kế của mã độc phản ánh phương pháp đặc trưng của Sandworm là sử dụng chức năng wiper (xóa dữ liệu) để gây gián đoạn tối đa cho các mạng mục tiêu.

Không giống như các loại mã độc truyền thống nhằm mục đích duy trì truy cập hoặc đánh cắp thông tin, DynoWiper ưu tiên hủy diệt nhanh chóng. Nó không chỉ xóa bỏ bằng chứng mà còn làm tê liệt khả năng vận hành đồng thời.

Việc triển khai DynoWiper cho thấy sự hiểu biết tinh vi về hệ thống Windows và các lỗ hổng cụ thể hiện có trong mạng lưới hạ tầng điện.

Đánh Giá Tác Động và Triển Vọng An Ninh Mạng

Đánh giá kỹ thuật của cuộc tấn công cho thấy mặc dù Sandworm đã xâm nhập thành công hệ thống và triển khai mã độc, sự cố không dẫn đến gián đoạn hoạt động được xác nhận đối với phân phối năng lượng tại Ba Lan.

Phát hiện này có thể gợi ý rằng các biện pháp phòng thủ đã ngăn chặn thành công sự lây lan hoặc những kẻ tấn công đã đối mặt với sự kháng cự không mong muốn trong các giai đoạn thực thi. Điều này cho thấy tầm quan trọng của các chiến lược an ninh mạng chủ động và phản ứng nhanh.

Tuy nhiên, khả năng triển khai mã độc xóa dữ liệu chủ động trong hạ tầng quốc gia quan trọng vẫn đại diện cho một sự vi phạm nghiêm trọng. Nó nhấn mạnh các lỗ hổng ngày càng tăng trong hệ thống năng lượng châu Âu và sự cần thiết phải tăng cường phòng thủ trước các cuộc tấn công mạng tinh vi.

Chỉ Số Thỏa Hiệp (IOCs)

Các chỉ số thỏa hiệp (IOCs) liên quan đến mã độc DynoWiper bao gồm:

• Tên mã độc: DynoWiper
• Chữ ký phát hiện ESET: Win32/KillFiles.NMO

Các tổ chức nên cập nhật các giải pháp bảo mật của mình để phát hiện và ngăn chặn các mối đe dọa tương tự từ các cuộc tấn công mạng của nhóm Sandworm.