Polonya Enerji Altyapısına Yönelik Sandworm Saldırısında DynoWiper Zararlısı Kullanıldı

Anasayfa » Polonya Enerji Altyapısına Yönelik Sandworm Saldırısında DynoWiper Zararlısı Kullanıldı
APT, Kritik Altyapı, Zararlılar
Ocak 30, 2026Ocak 30, 2026Tarafından Cybernews.TR
0
Polonya Enerji Altyapısına Yönelik Sandworm Saldırısında DynoWiper Zararlısı Kullanıldı

Saldırının Genel Çerçevesi

Aralık 2025’in son günlerinde Polonya enerji sektörüne yönelik karmaşık bir siber saldırı gerçekleştirildi. Ülkenin enerji bakanı Milosz Motyka’nın açıklamasına göre, saldırı Sandworm adlı Rus bağlantılı tehdit aktörü tarafından düzenlendi ve DynoWiper (Win32/KillFiles.NMO) adlı daha önce belgelenmemiş bir silici zararlı kullanıldı. Bu zararlı, hedef sistemlerde dosyaları kalıcı olarak silmek üzere tasarlanmış bir wiper türüdür.

Saldırının hedefinde, iki kombine ısı ve elektrik üretim (CHP) tesisi ile rüzgar türbinleri ve fotovoltaik çiftlikler gibi yenilenebilir enerji kaynaklarından elektrik yönetimini sağlayan sistemler vardı. Slovak siber güvenlik şirketlerinin tespitlerine göre, saldırı kesinti yaratmayı amaçlamasına rağmen başarılı bir elektrik kesintisi yaşanmadı.

Saldırı Zinciri ve Teknik Detaylar

Sandworm grubunun bu yeni kampanyasında DynoWiper zararlısı, hedef sistemlerde dosyaları silerek operasyonel kesintiye yol açmayı amaçladı. Bu saldırı, grubun 2015 yılında Ukrayna elektrik şebekesine yönelik BlackEnergy ve KillDisk kullanarak gerçekleştirdiği yıkıcı faaliyetlerin onuncu yıldönümünde gerçekleşti. O dönem yaklaşık 230.000 kişiyi etkileyen elektrik kesintileri yaşanmıştı.

Sandworm, geçmişte HermeticWiper ve PathWiper gibi gelişmiş veri silici zararlılarla Ukrayna’nın kritik altyapısını hedef aldı. Ayrıca, 2025’in ortalarında Ukrayna’daki üniversite ağlarında ZEROLOT ve Sting gibi zararlılarla veri silme operasyonları yürüttü. Bu bağlamda DynoWiper, grubun silici zararlılar portföyüne yeni eklenen sofistike bir varyant olarak dikkat çekiyor.

Saldırı zinciri muhtemelen hedef sistemlere yönelik kimlik avı veya zafiyet istismarıyla başladı, ardından zararlı yazılım yüklenip C2 (komuta kontrol) sunucularıyla iletişim kurdu ve kritik dosyalar kalıcı olarak silindi. Bu tür saldırılar, özellikle BT ve OT sistemlerinin birleştiği enerji sektöründe ciddi operasyonel riskler oluşturuyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • Enerji altyapısında kullanılan sistemlerde kapsamlı EDR (Endpoint Detection and Response) çözümleri uygulayın.
  • SIEM sistemleri ile logları gerçek zamanlı izleyerek anormal davranışları tespit edin.
  • Network segmentasyonu ve Zero Trust mimarisi ile OT ve BT ağlarını ayrıştırın.
  • Çok faktörlü kimlik doğrulama (MFA) ve güçlü erişim yönetimi (IAM) politikaları uygulayın.
  • Zararlı yazılım bulaşmasını önlemek için e-posta güvenliği ve kullanıcı farkındalığı eğitimleri düzenleyin.
  • Güncel yama yönetimi ile bilinen zafiyetlerin (CVE) istismarını engelleyin.
  • Olay müdahale (incident response) planlarını güncel tutarak hızlı reaksiyon sağlayın.
  • Özellikle kritik enerji sistemlerinde konteyner ve sanallaştırma çözümlerinde rastgele SSH portları ve erişim kısıtlamaları kullanın.

Kurumsal Senaryo: Enerji Sektöründe Riskler

Örneğin, bir enerji üretim tesisinde çalışan BT ve OT sistemleri iç içe geçmiş durumda olabilir. Sandworm gibi gelişmiş tehdit aktörleri, zafiyetleri veya sosyal mühendislik yöntemlerini kullanarak ağlara sızabilir. DynoWiper gibi silici zararlılar, kritik dosyaların ve konfigürasyonların silinmesine yol açarak üretim ve dağıtım süreçlerinde kesintilere neden olabilir. Bu nedenle, enerji sektöründe çalışan güvenlik ekiplerinin hem BT hem de OT ortamlarını entegre şekilde koruması gerekmektedir.

, , , , , , ,