CERT Polska, đội phản ứng sự cố máy tính của Ba Lan, đã tiết lộ rằng các cuộc tấn công mạng phối hợp đã nhắm mục tiêu vào hơn 30 trang trại điện gió và điện mặt trời, một công ty tư nhân trong lĩnh vực sản xuất, và một nhà máy nhiệt điện kết hợp (CHP) lớn cung cấp nhiệt cho gần nửa triệu khách hàng trong nước.
Vụ việc xảy ra vào ngày 29 tháng 12 năm 2025. Cơ quan này đã quy kết các cuộc tấn công cho nhóm mối đe dọa có tên Static Tundra, còn được theo dõi dưới các tên khác như Berserk Bear, Blue Kraken, Crouching Yeti, Dragonfly, Energetic Bear, Ghost Blizzard (trước đây là Bromine) và Havex. Static Tundra được đánh giá là có liên hệ với đơn vị Center 16 của Federal Security Service (FSB) của Nga.
Cần lưu ý rằng các báo cáo gần đây từ ESET và Dragos đã quy kết hoạt động này với mức độ tin cậy vừa phải cho một nhóm tin tặc khác do nhà nước Nga bảo trợ, được biết đến với tên Sandworm.
Mục tiêu tấn công và thiệt hại
"Tất cả các cuộc tấn công đều có mục tiêu hủy diệt thuần túy," CERT Polska cho biết trong một báo cáo công bố vào thứ Sáu. "Mặc dù các cuộc tấn công vào các trang trại năng lượng tái tạo đã làm gián đoạn liên lạc giữa các cơ sở này với nhà điều hành hệ thống phân phối, nhưng chúng không ảnh hưởng đến việc sản xuất điện đang diễn ra. Tương tự, cuộc tấn công vào nhà máy nhiệt điện kết hợp cũng không đạt được mục đích của kẻ tấn công là làm gián đoạn nguồn cung cấp nhiệt cho người dùng cuối."
Những kẻ tấn công được cho là đã giành quyền truy cập vào mạng nội bộ của các trạm biến áp điện liên quan đến một cơ sở năng lượng tái tạo để thực hiện các hoạt động trinh sát và phá hoại, bao gồm làm hỏng firmware của bộ điều khiển, xóa các tệp hệ thống hoặc triển khai mã độc wiper tùy chỉnh có tên DynoWiper theo phân loại của ESET.
Trong cuộc xâm nhập nhắm vào CHP, kẻ thù đã thực hiện hành vi trộm cắp dữ liệu dài hạn, bắt đầu từ tháng 3 năm 2025, cho phép chúng leo thang đặc quyền và di chuyển ngang qua mạng. CERT Polska lưu ý rằng những nỗ lực của kẻ tấn công nhằm kích hoạt mã độc wiper đã không thành công.
Mặt khác, việc nhắm mục tiêu vào công ty trong lĩnh vực sản xuất được cho là mang tính cơ hội, với việc tác nhân đe dọa giành được quyền truy cập ban đầu thông qua một thiết bị Fortinet bị lỗ hổng ở vành đai mạng. Cuộc tấn công nhắm vào điểm kết nối lưới điện cũng có khả năng liên quan đến việc khai thác một thiết bị FortiGate bị lỗ hổng.
Phân tích mã độc Wiper
Ít nhất bốn phiên bản khác nhau của DynoWiper đã được phát hiện cho đến nay. Các biến thể này đã được triển khai trên máy tính Mikronika HMI được các cơ sở năng lượng sử dụng và trên một chia sẻ mạng trong CHP sau khi giành quyền truy cập thông qua dịch vụ cổng SSL‑VPN của một thiết bị FortiGate.
"Kẻ tấn công đã giành quyền truy cập vào cơ sở hạ tầng bằng cách sử dụng nhiều tài khoản được định nghĩa tĩnh trong cấu hình thiết bị và không bật xác thực hai yếu tố," CERT Polska cho biết, chi tiết cách thức hoạt động của tác nhân nhắm vào CHP. "Kẻ tấn công đã kết nối bằng các nút Tor, cũng như các địa chỉ IP của Ba Lan và nước ngoài, thường liên quan đến cơ sở hạ tầng bị xâm phạm."
Chức năng của wiper khá đơn giản:
- Khởi tạo liên quan đến việc gieo hạt một bộ tạo số giả ngẫu nhiên (PRNG) được gọi là Mersenne Twister
- Liệt kê các tệp và làm hỏng chúng bằng cách sử dụng PRNG
- Xóa các tệp
Điều đáng nói ở đây là mã độc không có cơ chế duy trì, không có cách nào để liên lạc với máy chủ command‑and‑control (C2) hoặc thực thi các lệnh shell. Nó cũng không cố gắng ẩn hoạt động khỏi các chương trình bảo mật.
CERT Polska cho biết cuộc tấn công nhắm vào công ty trong lĩnh vực sản xuất liên quan đến việc sử dụng một wiper dựa trên PowerShell có tên LazyWiper. Mã độc này ghi đè các tệp trên hệ thống bằng các chuỗi 32 byte giả ngẫu nhiên để khiến chúng không thể phục hồi. Người ta nghi ngờ rằng chức năng xóa cốt lõi được phát triển bằng một large language model (LLM).
"Mã độc được sử dụng trong sự cố liên quan đến các trang trại năng lượng tái tạo đã được thực thi trực tiếp trên máy HMI," CERT Polska chỉ ra. "Ngược lại, tại nhà máy CHP (DynoWiper) và công ty trong lĩnh vực sản xuất (LazyWiper), mã độc đã được phân phối trong miền Active Directory thông qua một script PowerShell được thực thi trên một domain controller."
Cơ quan này cũng mô tả một số điểm tương đồng về cấp độ mã giữa DynoWiper và các wiper khác được xây dựng bởi Sandworm là "mang tính tổng quát" và không đưa ra bất kỳ bằng chứng cụ thể nào về việc liệu tác nhân đe dọa có tham gia vào cuộc tấn công hay không.
"Kẻ tấn công đã sử dụng thông tin đăng nhập có được từ môi trường on‑premises để cố gắng truy cập các dịch vụ đám mây," CERT Polska cho biết. "Sau khi xác định thông tin đăng nhập mà các tài khoản tương ứng tồn tại trong dịch vụ M365, kẻ tấn công đã tải xuống các dữ liệu được chọn từ các dịch vụ như Exchange, Teams và SharePoint."
"Kẻ tấn công đặc biệt quan tâm đến các tệp và tin nhắn email liên quan đến hiện đại hóa mạng OT, hệ thống SCADA và các công việc kỹ thuật được thực hiện trong các tổ chức."
