Die polnische Regierung unter Ministerpräsident Donald Tusk hat ihre Cyberabwehr seit dem Beginn der umfassenden russischen Invasion in der Ukraine am 24. Februar 2022 ausgebaut – als Reaktion auf eine aus ihrer Sicht wachsende Bedrohung durch Russland.
Der Angriff vom 29. Dezember ereignete sich am Vormittag und Nachmittag und richtete sich gegen ein Heizkraftwerk sowie mehrere Wind- und Solaranlagen. „Der Angriff war eine erhebliche Eskalation“, sagte CERT-Leiter Marcin Dudek der Nachrichtenagentur The Associated Press. Frühere Vorfälle seien vom Typ Ransomware gewesen, bei dem der Angreifer finanziell motiviert sei. „In diesem Fall gab es keine finanzielle Motivation – das Motiv war reine Zerstörung.“
Nach Dudeks Worten habe Polen in der Vergangenheit nur wenige zerstörerische Vorfälle erlebt, keiner davon im Energiesektor. Ihm sei zudem kein weiterer zerstörerischer Cyberangriff auf den Energiesektor in einem NATO- oder EU-Staat bekannt. Hätte sich der Angriff gegen noch größere Energieanlagen gerichtet, hätte er die Stabilität des polnischen Stromnetzes erheblich beeinträchtigen können.
Die polnischen Geheimdienste haben bislang öffentlich keinen mutmaßlichen Urheber benannt. Dudeks Team darf lediglich das Vorgehen beschreiben und auf einen wahrscheinlichen Bedrohungsakteur verweisen. Die CERT-Analyse untersuchte die im Angriff genutzte Internet-Infrastruktur, darunter Domains und IP-Adressen, und stellte fest, dass diese zuvor von einem russischen Akteur namens „Dragonfly“ – auch „Static Tundra“ oder „Berserk Bear“ genannt – verwendet worden waren. Dragonfly sei dafür bekannt, den Energiesektor ins Visier zu nehmen, bisher jedoch nicht mit einem zerstörerischen Angriff.
Laut einer Warnung des FBI aus dem August 2025 ist Dragonfly ein Cluster, der dem FSB-Zentrum 16 zugeordnet wird, einer Schlüsseleinheit des russischen Inlandsgeheimdienstes FSB.
Auch von den polnischen Behörden unabhängige Experten sehen die Spuren nach Russland führen. Das EU-Sicherheitsunternehmen ESET analysierte die eingesetzte Schadsoftware und kam zu dem Schluss, der Urheber sei wahrscheinlich „Sandworm“ – ein weiterer möglicher russischer Akteur, der zuvor mit zerstörerischen Angriffen in der Ukraine in Verbindung gebracht wurde. Die US-Regierung hat Sandworm in der Vergangenheit dem russischen Militärnachrichtendienst GRU zugeordnet.
Anton Cherepanov, leitender Malware-Forscher bei ESET, sagte der AP, der Einsatz datenlöschender Schadsoftware und deren Verbreitung im polnischen Fall seien „beides Techniken, die üblicherweise von Sandworm verwendet werden“. Ihm sei kein anderer kürzlich aktiver Bedrohungsakteur bekannt, der bei Operationen gegen Ziele in EU-Ländern datenlöschende Schadsoftware eingesetzt habe. Ob Dragonfly oder Sandworm – es handle sich um einen zuvor Russland zugeordneten Akteur: „Ob es diese Russen oder jene Russen sind, ist ein Detail“, so Cherepanov.
Die russische Botschaft in Warschau reagierte nicht auf Anfragen um Stellungnahme.
