Nguyễn Đức Thao
Intern Writer
Một phần mềm độc hại xóa dữ liệu mới có tên DynoWiper được cho là đã được sử dụng trong cuộc tấn công mạng quy mô lớn nhắm vào ngành điện lực Ba Lan vào cuối tháng 12 năm 2025. Theo các chuyên gia an ninh mạng, đứng sau chiến dịch này nhiều khả năng là Sandworm – nhóm tin tặc có liên hệ với nhà nước Nga, vốn nổi tiếng với các cuộc tấn công vào cơ sở hạ tầng trọng yếu.
Bộ trưởng Năng lượng Ba Lan, ông Milosz Motyka, cho biết cuộc tấn công đã bị phát hiện và ngăn chặn kịp thời. Ông mô tả đây là “vụ tấn công mạnh nhất vào cơ sở hạ tầng năng lượng trong nhiều năm qua”, được Bộ chỉ huy lực lượng không gian mạng phát hiện trong những ngày cuối năm 2025.
Công ty an ninh mạng đến từ Slovakia khẳng định không có bằng chứng cho thấy cuộc tấn công đã gây gián đoạn thực tế đối với hệ thống điện. Chính phủ Ba Lan cho biết các cuộc tấn công trong hai ngày 29 và 30 tháng 12 nhắm vào hai nhà máy nhiệt điện kết hợp (CHP), cùng một hệ thống quản lý điện năng từ các nguồn tái tạo như tua-bin gió và trang trại điện mặt trời.
Thủ tướng Ba Lan Donald Tusk nhận định các dấu hiệu cho thấy chiến dịch này được chuẩn bị bởi các nhóm có liên hệ trực tiếp với cơ quan tình báo Nga. Ông cho biết chính phủ đang xây dựng thêm các biện pháp phòng vệ, trong đó có một đạo luật an ninh mạng quan trọng, nhằm siết chặt yêu cầu về quản lý rủi ro, bảo vệ hệ thống công nghệ thông tin (IT), công nghệ vận hành (OT) và năng lực ứng phó sự cố.
Đáng chú ý, thời điểm xảy ra vụ việc trùng với kỷ niệm 10 năm cuộc tấn công nổi tiếng của Sandworm vào lưới điện Ukraine vào tháng 12 năm 2015. Khi đó, phần mềm độc hại BlackEnergy được triển khai để cài đặt KillDisk, gây mất điện kéo dài từ 4 đến 6 giờ cho khoảng 230.000 người dân tại khu vực Ivano-Frankivsk.
ESET nhấn mạnh Sandworm có lịch sử lâu dài trong việc tiến hành các cuộc tấn công mạng mang tính phá hoại, đặc biệt nhắm vào cơ sở hạ tầng trọng yếu của Ukraine. Dù đã một thập kỷ trôi qua, nhóm này vẫn tiếp tục mở rộng mục tiêu sang nhiều lĩnh vực quan trọng khác.
Trước đó, vào tháng 6 năm 2025, Cisco Talos từng ghi nhận một thực thể cơ sở hạ tầng quan trọng tại Ukraine bị tấn công bằng PathWiper – một loại mã độc xóa dữ liệu mới có nhiều điểm tương đồng với HermeticWiper, công cụ từng được Sandworm sử dụng. Ngoài ra, nhóm tin tặc này cũng bị phát hiện triển khai các mã độc như ZEROLOT và Sting trong mạng lưới của một trường đại học Ukraine, trước khi phát tán hàng loạt biến thể wiper nhằm vào các tổ chức thuộc lĩnh vực chính phủ, năng lượng, hậu cần và nông nghiệp từ tháng 6 đến tháng 9 năm 2025.
Bộ trưởng Năng lượng Ba Lan, ông Milosz Motyka, cho biết cuộc tấn công đã bị phát hiện và ngăn chặn kịp thời. Ông mô tả đây là “vụ tấn công mạnh nhất vào cơ sở hạ tầng năng lượng trong nhiều năm qua”, được Bộ chỉ huy lực lượng không gian mạng phát hiện trong những ngày cuối năm 2025.
DynoWiper và dấu vết quen thuộc của Sandworm
Theo báo cáo mới công bố của ESET, cuộc tấn công được thực hiện vào ngày 29 tháng 12 năm 2025 và có liên quan trực tiếp đến việc sử dụng DynoWiper – một loại phần mềm độc hại xóa dữ liệu chưa từng được ghi nhận trước đây. ESET cho biết mối liên hệ với Sandworm được xác định dựa trên nhiều điểm trùng khớp với các chiến dịch phá hoại trước đó của nhóm này, đặc biệt là sau khi Nga mở chiến dịch quân sự tại Ukraine vào tháng 2 năm 2022.Công ty an ninh mạng đến từ Slovakia khẳng định không có bằng chứng cho thấy cuộc tấn công đã gây gián đoạn thực tế đối với hệ thống điện. Chính phủ Ba Lan cho biết các cuộc tấn công trong hai ngày 29 và 30 tháng 12 nhắm vào hai nhà máy nhiệt điện kết hợp (CHP), cùng một hệ thống quản lý điện năng từ các nguồn tái tạo như tua-bin gió và trang trại điện mặt trời.
Thủ tướng Ba Lan Donald Tusk nhận định các dấu hiệu cho thấy chiến dịch này được chuẩn bị bởi các nhóm có liên hệ trực tiếp với cơ quan tình báo Nga. Ông cho biết chính phủ đang xây dựng thêm các biện pháp phòng vệ, trong đó có một đạo luật an ninh mạng quan trọng, nhằm siết chặt yêu cầu về quản lý rủi ro, bảo vệ hệ thống công nghệ thông tin (IT), công nghệ vận hành (OT) và năng lực ứng phó sự cố.
Đáng chú ý, thời điểm xảy ra vụ việc trùng với kỷ niệm 10 năm cuộc tấn công nổi tiếng của Sandworm vào lưới điện Ukraine vào tháng 12 năm 2015. Khi đó, phần mềm độc hại BlackEnergy được triển khai để cài đặt KillDisk, gây mất điện kéo dài từ 4 đến 6 giờ cho khoảng 230.000 người dân tại khu vực Ivano-Frankivsk.
ESET nhấn mạnh Sandworm có lịch sử lâu dài trong việc tiến hành các cuộc tấn công mạng mang tính phá hoại, đặc biệt nhắm vào cơ sở hạ tầng trọng yếu của Ukraine. Dù đã một thập kỷ trôi qua, nhóm này vẫn tiếp tục mở rộng mục tiêu sang nhiều lĩnh vực quan trọng khác.
Trước đó, vào tháng 6 năm 2025, Cisco Talos từng ghi nhận một thực thể cơ sở hạ tầng quan trọng tại Ukraine bị tấn công bằng PathWiper – một loại mã độc xóa dữ liệu mới có nhiều điểm tương đồng với HermeticWiper, công cụ từng được Sandworm sử dụng. Ngoài ra, nhóm tin tặc này cũng bị phát hiện triển khai các mã độc như ZEROLOT và Sting trong mạng lưới của một trường đại học Ukraine, trước khi phát tán hàng loạt biến thể wiper nhằm vào các tổ chức thuộc lĩnh vực chính phủ, năng lượng, hậu cần và nông nghiệp từ tháng 6 đến tháng 9 năm 2025.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
