Am 29. Dezember 2025 war es durch eine koordinierte Operation gegen die polnische Energieinfrastruktur gekennzeichnet, die mehr als 30 Erneuerbare Anlagen - Wind- und Photovoltaikparks -, ein Produktionsunternehmen und eine große KWK-Anlage, die Hunderttausende von Haushalten heizt. Die ausführlichste öffentliche Benachrichtigung kam von ZERT Polen, die einen Angriff beschreibt, der darauf abzielt, die Arbeitsumgebungen zu beschädigen und Fragen auf dem Tisch über Verteidigungen zu hinterlassen, die kritische Netzwerke schützen.
Der Bericht von CERT Polska weist auf eine Reihe von Bedrohungen hin, die sie nennen. Strategische Tundra, historisch gruppiert mit Appellen wie Berserk Bear oder Energy Bear und in seiner Analyse mit der russischen FSB Einheit 16 verwandt. Andere öffentliche Analysen haben auf Verbindungen mit einem anderen russischen Staatsdarsteller hingewiesen, der als Sandworm identifiziert wurde; Cyber-Sicherheitsunternehmen wie ESET und Drago haben Forschung veröffentlicht, die mit unterschiedlichem Vertrauen technische und taktische Verbindungen zu dieser Gruppe herstellen. Diese Art der Divergenz ist in komplexen Kräften nicht ungewöhnlich: Überschneidungen in Werkzeugen, Mustern und Zielen ermöglichen unterschiedliche Hypothesen, bieten aber selten einseitige Schlussfolgerungen.
Die Angreifer konnten Netzwerke durchdringen, die mit Unterstationen und industriellen Steuerungssystemen verbunden sind. In mehreren Fällen haben sie auf HMI (Man-Maschine-Schnittstelle) Computer von Herstellern wie Mikronika und Unternehmensnetzwerke, die die OT-Umgebungen liefern, zugreifen können. CERT Polska beschreibt Aktivitäten der tiefen Erkennung, der Firmware-Manipulation in den Controllern und der Implantation destruktiver Malware, während in der KWK-Anlage die Eindringlinge seit März 2025 anwesend sind, um Informationen zu entfernen, die ihnen erlaubt, Privilegien zu klettern und sich seitlich innerhalb des Netzwerks zu bewegen.
Die prominenteste destruktive Komponente wurde unter dem Namen DynoWiper identifiziert, ein schädlicher Software-Entwurf, der in mehreren Varianten gefunden wurde. Seine Funktionsweise ist nach der Analyse relativ direkt: Der Code initiiert einen Pseudo-Zufallszahlengenerator basierend auf dem Algorithmus Mersenne Twister, führt Dateisysteme zu beschädigten Dateien und eliminiert Informationen, aber nicht integriert anspruchsvolle Mechanismen der Beharrlichkeit, Befehl und Kontrolle oder fortgeschrittene Anziehungstechniken. Parallel entdeckte die Intrusion gegen das Fertigungsunternehmen einen in PowerShell entwickelten Entwurf namens LazyWiper, der Dateien mit 32 Bytes Pseudo-random Sequenzen überschreibt; Forscher vermuten, dass die Logik des Löschens durch ein Sprachmodell unterstützt worden sein könnte.
Die Verteilung und der Anfangsvektor, die in mehreren der Zwischenfälle verwendet wird, zeigt eine wiederkehrende Schwäche: FortiGate Perimeter Geräte mit verwundbaren Konfigurationen und exponierten SSL-VPN-Portalen bot einen Einstiegspunkt. CERT Polska stellt fest, dass die Konten, mit denen sie zugegriffen wurde, in der Konfiguration statisch waren, ohne Authentifizierung von zwei Faktoren, und dass die Verbindungen beide von Knoten kamen Tor als Infrastruktur aus verschiedenen Ländern. Diese Ergebnisse zeigen eine Kombination von Patch-Ausfällen, unsicheren Konfigurationen und Lücken bei der Stärkung des Fernzugriffs; Fortinet hält einen öffentlichen Kanal für Warnungen und Patches, die regelmäßig auf seiner Sicherheitsstelle überprüft werden sollten ( Fortiner Produktsicherheit)
Ein weiteres Anliegen war die Wiederverwendung von Anmeldeinformationen und die Eskalation von lokalen Umgebungen zu Cloud-Diensten. Nach der Identifizierung synchronisierter Konten mit Microsoft 365 heruntergeladenen die Angreifer Informationen von Exchange, Teams und SharePoint; die Ziele umfassten Dokumente und E-Mails im Zusammenhang mit der Modernisierung von OT- und SCADA-Systemen. Diese Kombination aus lokalem Angriff und Cloud-Exfiltration zeigt, warum es wichtig ist, Identitäten und Zugriff in beiden Domänen zu schützen: In der Praxis kann ein VPN oder ein Domänencontroller die Tür zu Cloud-Daten öffnen, wenn es keine zusätzlichen Kontrollen gibt. Microsoft bietet Empfehlungen zur Bereitstellung von Multifaktor-Authentifizierung und zum Schutz von Identitäten in Azure AD ( Microsoft MFA Leitfaden)
Aus betrieblicher Sicht wurden die Ergebnisse gemischt: die Unterbrechungen der Erneuerbaren Parks beeinflussten die Kommunikation mit dem Netzbetreiber, verhinderten aber nicht die Stromerzeugung; Versuche, die Wärmezufuhr aus der KWK-Anlage zu reduzieren, erreichten laut CERT Polska nicht ihr endgültiges Ziel. Jedoch sind materielle Schäden und Stress auf System-Resilienz real: Firmware-Änderung, Dateivernichtung und vorübergehenden Verlust der Sichtbarkeit Komplikieren Management und Erholung, und erhöhen das Risiko von ernsteren Folgen in zukünftigen Zwischenfällen.
Die technischen Lehren sind klar: Perimetrals und VPN-Portale mit entsprechenden Patches und Konfigurationen zu gewährleisten, Multifaktor-Authentifizierung für administrativen Zugriff zu verhängen, Konten und Passwörter in Konfigurationen zu minimieren, OT- und IT-Netzwerke zu segmentieren, um Seitenbewegungen zu begrenzen und Offline-Backup zu halten, die Restaurationen nach dem Löschen von Angriffen ermöglicht. Darüber hinaus sind frühzeitige Erkennung und koordinierte Reaktion zwischen Betreibern, Herstellern und Behörden kritisch; Agenturen wie CISA sie veröffentlichen Anleitungen und Hinweise zu Sicherheitspraktiken in Industriesystemen, die für kritische Infrastrukturbetreiber nützlich sind.
Wir müssen auch über die sich verändernde Natur von schädlichen Werkzeugen reflektieren. Die beobachteten Löscher haben keine ausgeklügelten Kontroll- und Kontrollfunktionen, was keine Gefahr ist: Ein einfacher, gut geführter und ausgeführter Code zur richtigen Zeit kann große Schäden verursachen. Gleichzeitig zeigt die mögliche Unterstützung von Sprachmodellen bei der Erzeugung von Löschmodulen einen neuen Beschleunigungsvektor in der technischen Kapazität von Angreifern mit moderaten Ressourcen.
Letztendlich erinnert dieser Vorfall in Polen daran, dass die Sicherheit der Energieversorgung sowohl von der Software als auch von der Hardware- Robustheit und von grundlegenden Cyberhygiene und internationalen Kooperationspraktiken abhängt. Transparenz in den öffentlichen Berichten, die Verbreitung von Verpflichtungsindikatoren und die Zusammenarbeit zwischen dem privaten Sektor und den Reaktionsstellen sind Faktoren, die die kollektive Verteidigungsfähigkeit erhöhen. Für diejenigen, die kritische Infrastruktur verwalten, ist die zugrunde liegende Empfehlung klar: ständig zu antizipieren, zu patchieren, zu segmentieren und zu auditieren und dies in Abstimmung mit nationalen Agenturen und Sicherheitsanbietern zu tun.
Der Bericht der ZERT Polen, Forschung und Bulletins von Cyber-Sicherheitsunternehmen wie ESET und sektorale Ressourcen Drago zusätzlich zu den Beratungsseiten von Herstellern und Agenturen wie Fortinet, CISA und Dokumentation zum Schutz Microsoft. Die Sicherheit des Energieumfeldes ist kein eintägiges Problem: Es erfordert nachhaltige Investitionen und laufende Überwachung.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...