Une attaque inédite par malware wiper a visé le réseau électrique polonais

 (arstechnica.com)
2 points par GN⁺ 2026-01-26 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Le réseau électrique polonais a été visé par une attaque au nouveau malware wiper (DynoWiper), probablement liée à la Russie, mais l’alimentation en électricité n’a pas été perturbée
  • L’attaque a eu lieu fin décembre 2025 et est considérée comme une tentative de perturber les communications entre les installations d’énergie renouvelable et les opérateurs de distribution
  • L’entreprise de sécurité ESET a analysé ce malware comme un wiper destructeur qui efface définitivement les données, avec des tactiques et techniques similaires à celles du groupe de hackers soutenu par l’État russe Sandworm
  • Cette attaque a été menée à l’occasion du 10e anniversaire du piratage du réseau électrique ukrainien de 2015, un incident qui avait alors provoqué une coupure de courant de 6 heures pour environ 230 000 personnes
  • DynoWiper n’est pas parvenu à provoquer une véritable coupure d’électricité, mais l’incident remet en lumière les capacités de cyberattaque de la Russie et la vulnérabilité des infrastructures énergétiques européennes

Attaque par malware wiper visant le réseau électrique polonais

  • Des chercheurs indiquent que le réseau électrique polonais a été la cible d’une attaque par malware wiper, probablement déployée par des hackers étatiques russes
    • L’attaque est analysée comme une tentative de perturber les opérations liées à l’approvisionnement en électricité
    • Reuters a rapporté que la cyberattaque s’est produite pendant la dernière semaine de décembre et qu’elle cherchait à brouiller les communications entre les installations d’énergie renouvelable et les opérateurs de distribution, sans y parvenir
  • Le malware utilisé dans l’attaque a été baptisé DynoWiper et vise à paralyser totalement les opérations en supprimant définitivement le code et les données des serveurs
  • Après analyse des tactiques, techniques et procédures (TTP), ESET a indiqué relever de fortes similitudes avec les activités passées du groupe Sandworm APT, et attribue l’attaque à Sandworm avec un niveau de confiance moyen (medium confidence)

Précédents de Sandworm

  • Sandworm est un groupe de piratage réputé soutenu par le Kremlin, avec un historique de cyberattaques destructrices menées à plusieurs reprises
    • En décembre 2015, l’attaque contre le réseau électrique ukrainien a provoqué une coupure de courant de 6 heures pour environ 230 000 personnes, considérée comme la première panne d’électricité causée par un malware
    • Le malware BlackEnergy utilisé à l’époque avait infiltré les systèmes SCADA et exploité des fonctions légitimes pour interrompre la distribution d’électricité
  • ESET souligne que l’attaque en Pologne a eu lieu à l’occasion du 10e anniversaire de cet incident
  • Les hackers russes ont déjà fait un usage répété de malwares wiper sur mesure par le passé
    • En 2022, le wiper AcidRain a neutralisé 270 000 modems satellite en Ukraine
    • En 2025, plusieurs cas de déploiement de wipers visant des universités et des infrastructures critiques ont été signalés

NotPetya et l’historique des wipers russes

  • L’exemple le plus célèbre de l’usage de wipers par la Russie reste NotPetya en 2017, initialement dirigé contre l’Ukraine avant de se propager dans le monde entier
    • L’attaque a causé environ 10 milliards de dollars de dégâts aux gouvernements et entreprises du monde entier
    • NotPetya est considéré comme l’incident de cyberintrusion le plus coûteux de l’histoire

Pourquoi DynoWiper a échoué

  • La raison de l’échec de DynoWiper à provoquer une coupure d’électricité n’a pas été clairement établie
    • L’article évoque deux possibilités
      • La Russie a peut-être volontairement limité l’attaque afin d’éviter une réponse directe d’alliés de la Pologne
      • Ou bien les systèmes de cyberdéfense ont pu bloquer l’exécution du malware
  • Aucun détail technique supplémentaire ni information complémentaire sur l’ampleur des dommages n’a été rendu public

Signification de l’incident

  • Cet incident montre que les capacités de cyberattaque russes restent pleinement actives
  • Il souligne aussi à nouveau la nécessité de renforcer la sécurité des infrastructures énergétiques européennes
  • DynoWiper constitue une nouvelle forme de malware wiper, ce qui appelle à renforcer la recherche en sécurité et les dispositifs de défense face à d’éventuelles attaques similaires

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.