Russische hackers vielen Polen aan met nieuwe destructieve malware op de tiende verjaardag van hun Oekraïense stroomanval
Warschau, zondag, 25 januari 2026.
Eind december 2025 probeerde de beruchte Russische hackergroep Sandworm het Poolse elektriciteitsnetwerk plat te leggen met DynoWiper malware. De aanval faalde, maar had een halve miljoen huizen zonder stroom kunnen zetten. Het cynische timing? Precies tien jaar na hun succesvolle stroomanval in Oekraïne die 230.000 mensen in het donker zette. Cybersecurityonderzoekers van ESET koppelen de nieuwe destructieve software aan dezelfde GRU-eenheid die achter eerdere energieaanvallen zit.
Nieuwe DynoWiper malware richtte zich op kritieke energiesystemen
Polen blokkeerde op 29 en 30 december 2025 een cyberaanval die twee warmte- en elektriciteitscentrales en een systeem voor hernieuwbare energie wilde treffen [1][2]. De hackers zetten DynoWiper malware in - destructieve software die computersystemen volledig onbruikbaar maakt door alle data permanent te wissen [3]. Energieminister Milosz Motyka noemde het op 13 januari 2026 ‘de sterkste aanval op de energie-infrastructuur in jaren’ [4]. Lokale media meldden dat een succesvolle aanval minstens een halve miljoen huizen zonder stroom had kunnen zetten [5]. Voor Nederlandse lezers is dit relevant omdat soortgelijke aanvallen ook onze energievoorziening kunnen treffen - Nederland werkt nauw samen met Polen binnen de Europese energiemarkt.
Sandworm herhaalt destructieve tactieken na tien jaar
ESET-onderzoekers koppelden de aanval op 23 januari 2026 ‘met gemiddeld vertrouwen’ aan Sandworm, een Russische militaire inlichtingengroep [6]. Deze hackers sloegen precies tien jaar eerder toe in Oekraïne, waar ze in december 2015 met BlackEnergy malware 230.000 mensen zonder stroom zetten [7][8]. Premier Donald Tusk verklaarde op 15 januari dat ‘alles erop wijst dat deze aanvallen werden voorbereid door groepen direct gelinkt aan Russische diensten’ [1][9]. De timing is cynisch - Sandworm koos bewust voor de tiende verjaardag van hun Oekraïense succes. ESET detecteert DynoWiper als Win32/KillFiles.NMO met SHA-1 hash 4EC3C90846AF6B79EE1A5188EEFA3FD21F6D4CF6 [1][2].
Europese energiesystemen blijven kwetsbaar voor staatshackers
Hoewel deze aanval faalde, toont het de blijvende dreiging voor Europese energiesystemen [6]. Sandworm voerde tussen april en september 2025 regelmatig wiper-aanvallen uit tegen Oekraïense doelen, waaronder onderwijs, overheid en graansector [1][2]. Voor Nederland betekent dit dat onze energieleveranciers en netbeheerders constant waakzaam moeten blijven. Poolse autoriteiten bereiden nieuwe cybersecuritywetgeving voor die eisen stelt aan risicobeheer en incidentrespons [10]. Nederlandse energiebedrijven kunnen hier lessen uit trekken - want als Polen, een EU-buur, zo wordt aangevallen, zijn wij ook niet veilig.
Bronnen
- www.bleepingcomputer.com
- www.welivesecurity.com
- techcrunch.com
- www.reuters.com
- techcrunch.com
- www.welivesecurity.com
- arstechnica.com
- www.bleepingcomputer.com
- www.reuters.com
- thehackernews.com