Cyberatak na polską energetykę. Cel: wyrządzenie maksymalnych szkód
W grudniu polska infrastruktura energetyczna stała się celem skoordynowanego cyberataku o charakterze sabotażowym. Groził nam częściowy blackout. Raport CERT Polska ujawnia skalę i wnioski z tego incydentu.
29 grudnia 2025 roku doszło do skoordynowanego ataku hakerskiego na polską infrastrukturę energetyczną. W miesiąc po tym wydarzeniu CERT Polska opublikował szczegółowy raport na temat możliwych motywów, celów i skutków działań cyberprzestępców.
Ich celem było co najmniej 30 farm wiatrowych i fotowoltaicznych, duża elektrociepłownia oraz firma produkcyjna. Był to wyłącznie atak destrukcyjny, który analitycy CERT Polska porównują do cyfrowego podpalenia – w najgorszym możliwym momencie, tuż przed Nowym Rokiem, gdy Polska zmagała się z mrozami i zamieciami śnieżnymi.
Co zostało zaatakowane?
Ataki były przeprowadzone jednocześnie i miały na celu wyrządzenie maksymalnych szkód. W przypadku farm OZE hakerzy zniszczyli systemy komunikacji między farmami a operatorami sieci dystrybucyjnej – stacje utraciły możliwość zdalnego sterowania, choć sama produkcja energii nie została przerwana. Elektrociepłownia, która dostarcza ciepło dla prawie pół miliona odbiorców, była celem ataku złośliwym oprogramowaniem typu wiper – programem niszczącym dane bez możliwości ich odzyskania. Na szczęście oprogramowanie zabezpieczające EDR zablokowało atak w ostatniej chwili.
Atakujący wykorzystali słabe zabezpieczenia urządzeń przemysłowych. W przypadku farm wiatrowych i fotowoltaicznych przestępcy dostali się przez urządzenia Fortigate, które służyły jako bramy VPN – wiele z nich miało domyślne hasła bez dodatkowego uwierzytelnienia dwuskładnikowego. Po dostaniu się do sieci hakerzy niszczyli wszystko, co było możliwe: sterowniki RTU Hitachi zostały sparaliżowane przez wgranie uszkodzonego oprogramowania, sterowniki Mikronika wymazano przez usunięcie wszystkich plików systemowych przez SSH, a serwery portów Moxa zostały przywrócone do ustawień fabrycznych z podmienionymi hasłami i niedziałającymi adresami IP.
Elektrociepłownia była infiltrowana znacznie dłużej – pierwsze ślady obecności hakerów sięgają marca 2025 roku. Atakujący zdobyli dostęp do kont administratorów, wykradli bazę Active Directory i przez miesiące przygotowywali grunt pod ostateczny atak. 29 grudnia próbowali uruchomić program niszczący dane na ponad 100 komputerach za pomocą polityki GPO, ale system bezpieczeństwa zatrzymał atak.
Kto za tym stoi?
CERT Polska przeprowadziła szczegółową analizę infrastruktury wykorzystanej do ataku i ustaliła, że sprawcy należą najprawdopodobniej do grupy (tzw. klastra aktywności) znanej pod różnymi nazwami nadanymi przez różne firmy bezpieczeństwa jako Static Tundra (Cisco), Berserk Bear (CrowdStrike), Ghost Blizzard (Microsoft) lub Dragonfly (Symantec). To znana grupa z Rosji specjalizująca się w atakach na sektor energetyczny i posiadająca umiejętności atakowania urządzeń przemysłowych. Jest to jednak pierwsza publicznie opisana aktywność o charakterze destrukcyjnym przypisywana tej grupie.
CERT Polska zaleca wszystkim firmom weryfikację logów pod kątem wskaźników kompromitacji zawartych w raporcie, rejestrację w systemie moje.cert.pl oraz wdrożenie rekomendacji dla zabezpieczenia systemów OT. Kluczowe jest też zgłaszanie incydentów do właściwych zespołów CSIRT: CSIRT GOV dla administracji rządowej i infrastruktury krytycznej, CSIRT MON dla instytucji wojskowych, a CSIRT NASK dla pozostałych podmiotów.
Raport techniczny jest dostępny publicznie tu:
