ESET Research: Polonya'nın elektrik şebekesine yapılan siber saldırının arkasında Sandworm var. 10 yıl sonra aynı imza
Siber güvenlik şirketi ESET, saldırının Rusya bağlantılı kötü şöhretli APT grubu Sandworm'un işi olduğunu ortaya çıkardı. Saldırı, ESET araştırmacıları tarafından analiz edilen ve DynoWiper olarak adlandırılan veri silme kötü amaçlı yazılımını içeriyor.
Sandworm, özellikle Ukrayna'nın kritik altyapısına yönelik yıkıcı siber saldırılar konusunda uzun bir geçmişe sahip. Aralık ayının son haftasında Polonya'nın elektrik şebekesine yapılan saldırıda, ESET'in analiz ettiği ve DynoWiper olarak adlandırdığı veri silme kötü amaçlı yazılımı kullanıldı. ESET güvenlik çözümleri, DynoWiper'ı Win32/KillFiles.NMO olarak algılıyor. ESET araştırmacıları, kötü amaçlı yazılım ve ilgili TTP'leri analiz ettikten sonra saldırının Rusya yanlısı Sandworm APT'ye ait olduğunu düşündüklerini bunun nedeninin ise analiz edilen önceki birçok Sandworm wiper faaliyetiyle büyük ölçüde örtüşmesi olduğunu belirtti.
Hedeflenen etkiyle ilgili ayrıntılar hâlâ araştırılmaya devam ederken ESET araştırmacıları, koordineli saldırının Sandworm'un Ukrayna elektrik şebekesine düzenlediği ve kötü amaçlı yazılımların neden olduğu ilk elektrik kesintisine yol açan saldırının 10'uncu yıl dönümünde gerçekleştiğini vurguladılar. 2015 yılının Aralık ayında Sandworm, BlackEnergy kötü amaçlı yazılımını kullanarak birkaç elektrik trafo merkezindeki kritik sistemlere erişim sağlamış ve yaklaşık 230 bin kişi birkaç saat boyunca elektriksiz kalmıştı.
On yıl sonra Sandworm, özellikle Ukrayna'da çeşitli kritik altyapı sektörlerinde faaliyet gösteren kuruluşları hedef almaya devam ediyor. ESET araştırmacıları, Nisan-Eylül 2025 dönemini kapsayan en son APT Faaliyet Raporu'nda, Sandworm'un Ukrayna'daki hedeflerine düzenli olarak wiper saldırıları düzenlediğini tespit ettiklerini belirtti.