Ataki hakerskie z grudnia 2025 roku objęły szereg podmiotów z obszaru polskiej energetyki. Niestety działania cyberprzestępców okazały się skuteczne, przełamały zabezpieczenia i zagroziły całemu systemowi energetycznemu RP. Ustalenia Zespołu CERT Polska w tej sprawie są mocno niepokojące.
29 grudnia 2025 roku dokonano skoordynowanego cyberataku na polską infrastrukturę energetyczną. Incydent ten składał się z wielu równoległych działań przeciw różnym elementom systemu krytycznego. Ta „cyberoperacja” dotknęła: ponad 30 farm wiatrowych i fotowoltaicznych, elektrociepłownię dostarczającą ciepło dla prawie pół miliona odbiorców w Polsce oraz spółkę prywatną z sektora produkcyjnego.Bez wątpienia celem ataku było zakłócenie działania infrastruktury energetycznej poprzez uszkodzenie systemów sterowania, które mogło mieć katastrofalne skutki, szczególnie w okresie zapowiadanych trudnych warunków atmosferycznych (mrozy, śnieżyce). Jak wynika z opublikowanego przez CERT Polska (NASK) specjalnego raportu, przeciwnicy na długo przed atakiem działali w sieciach energetycznych, uzyskując dostęp do kont uprzywilejowanych i zbierając informacje.
Z danych zawartych w raporcie wynika, że atak na kilkadziesiąt farm wiatrowych i fotowoltaicznych miał „cel destrukcyjny i spowodował zerwanie komunikacji między obiektami a operatorami sieci dystrybucyjnej (OSD), ale nie miał wpływu na bieżącą produkcję energii elektrycznej”. CERT zaznacza że „z uwagi na poziom dostępów uzyskanych przez atakującego istniało ryzyko spowodowania przestoju w produkcji energii elektrycznej przez obiekt”.
CERT wskazuje, że atak na farmy wiatrowe wyglądał w następujący sposób: atakujący uzyskał dostęp do stacji elektroenergetycznej GPO, czyli miejsca, w którym obiekt OZE jest połączony z siecią dystrybucyjną i jej operatorem. GPO (tzn. główne punkty odbioru) to obiekty zarządzane zdalnie. Dane z raportu: „w każdym z obiektów rozpoczęto działania destrukcyjne na urządzeniach, do których aktor uzyskał dostęp. Ataki w obrębie danej stacji były prawdopodobnie częściowo zautomatyzowane. Urządzenia były uszkadzane w kolejności rosnącej po adresacji IP. Zaobserwowano, że gdy w danym segmencie sieci atak się nie powiódł na jednym z adresów IP, nie był on kontynuowany na kolejnych”. Uszkodzenia sterowników RTU (Hitachi, Mikronika, Hitachi Relion) były bezpośrednią przyczyną zerwania komunikacji obiektu z OSD i uniemożliwiły zdalne sterowanie, jednak nie wpłynęło to bezpośrednio na bieżącą produkcję. Każdy z zaatakowanych obiektów korzystał z serwerów portów Moxa Nport 6xxx. Urządzenia posiadały włączony interfejs webowy i domyślny login i hasło. Atakujący wykorzystał te poświadczenia w celu przywrócenia urządzeń do ustawień fabrycznych, co miało na celu opóźnienie przywrócenia sprawności.
Z kolei cyberatak na jedną z polskich elektrociepłowni miał na celu nieodwracalne uszkodzenie danych znajdujących się na urządzeniach w sieci wewnętrznej podmiotu poprzez uruchomienie oprogramowania typu wiper czyli oprogramowania niszczącego pliki lub wymazującego dyski. Jak wskazują autorzy Raportu, sabotaż poprzedzony był długotrwałą infiltracją infrastruktury oraz kradzieżą wrażliwych informacji dotyczących działania podmiotu.
Atak został przeprowadzony w następujący sposób: na początku atakujący uzyskał dostęp do uprzywilejowanych kont w domenie Active Directory, co pozwoliło mu na swobodne poruszanie się po systemach podmiotu, zaś rozpowszechnianie oprogramowania wiper było realizowane z wykorzystaniem GPO. Ślady podejrzanych aktywności w infrastrukturze zaobserwowane zostały kilka miesięcy przed uruchomieniem oprogramowania wiper. „W okresie od marca do lipca 2025 roku w infrastrukturze zaatakowanego podmiotu zaobserwowane zostały podejrzane działania związane z rekonesansem, nieuprawnionym dostępem do danych oraz próbami pozyskania poświadczeń użytkowników” – czytamy w raporcie. Pod koniec 2025 roku w infrastrukturze zaatakowanego podmiotu ponownie zostały zaobserwowane nieuprawnione działania powiązane z rekonesansem, kradzieżą poświadczeń oraz dostępem do danych. Tym razem atakujący podjął również próbę uszkodzenia danych na serwerach oraz stacjach roboczych.
„W dniu 29 grudnia 2025 roku w godzinach porannych atakujący uzyskał dostęp do portalu SSL-VPN, a następnie przy jego wykorzystaniu wykonał połączenie zdalnego pulpitu do maszyny przesiadkowej. Z tego komputera połączył się do jednego z kontrolerów domeny, na którym utworzył archiwum zawierające m.in. plik oprogramowania typu wiper mający na celu trwałe uszkodzenie danych na maszynach w infrastrukturze sieciowej. Plik wykonywalny nie został wykryty przez oprogramowanie antywirusowe, natomiast jego wykonanie zostało zablokowane w trakcie działania przez oprogramowanie klasy EDR. Spowodowało to zatrzymanie nadpisywania danych na ponad 100 maszynach, na których plik został już uruchomiony. Tego dnia atakujący podjął kolejną próbę uruchomienia nieznacznie zmodyfikowanego wipera, jednak ona również nie była skuteczna. (…) Atakujący podjął również próbę bezpośredniego zniszczenia danych na dyskach podłączonych do serwerów ulokowanych w infrastrukturze. W tym celu wykorzystał on minimalistyczną dystrybucję Tiny Core Linux” – wyjaśnia autor raportu.
Ostatnim punktem zaplanowanego ataku na infrastrukturę energetyczną w dniu 29 grudnia 2025 roku była próba zakłócenia funkcjonowania przedsiębiorstwa z sektora produkcyjnego. Jak wynika z raportu CERT, atakujący uzyskał dostęp do sieci przedsiębiorstwa poprzez urządzenie brzegowe Fortinet. „Urządzenie było w przeszłości podatne, a jego konfiguracja została wykradziona i opublikowana m.in. w jednym z postów na forum internetowym wykorzystywanym przez środowiska przestępcze. Po uzyskaniu dostępu do urządzenia, atakujący wprowadził zmiany mające na celu zachowanie dostępu do niego po zmianie haseł użytkowników” – czytamy w raporcie.
Celem złośliwego oprogramowania była nieodwracalna destrukcja danych, bez próby wymuszania okupu. Zaobserwowano dwie kategorie tego typu oprogramowania: skompilowane do pliku wykonywalnego (DynoWiper) oraz napisane w PowerShellu (LazyWiper). Tu warto zauważyć, że użyte oprogramowanie typu wiper było tożsame z tym wykorzystanym w ataku na elektrociepłownię.
W połowie stycznia Premier Donald Tusk poinformował o incydencie i zapewniał, że polski system energetyczny jest bezpieczny i odporny na tego typu ingerencje czy ataki. „Systemy, które dzisiaj w Polsce mamy, okazały się skuteczne. Ani przez chwilę nie była zagrożona infrastruktura krytyczna, czyli sieci przesyłowe i to, co decyduje o bezpieczeństwie całego systemu” – mówił premier i jednocześnie nadmienił, że konieczne jest dalsze wzmocnienie systemu oraz, że rząd przygotowuje dodatkowe zabezpieczenia. Co istotne Premier wprost poinformował, że za atakiem stoją prawdopodobnie ludzie związani z obcym mocarstwem. „Wiele wskazuje na to, że te ataki były przygotowane przez grupy wprost związane z rosyjskimi służbami” – ocenił Tusk. Z analizy raportu CERT Polska wynika, że zebrane informacje techniczne pozwalają wiązać go z działaniami prowadzonymi przez klastry aktywności znane pod nazwami: Static Tundra, Berserk Bear, Ghost Blizzard oraz Dragonfly. Z informacji przedstawionej przez Ministerstwo Cyfryzacji wynika, że mimo ogromnego zagrożenia dla bezpieczeństwa energetycznego państwa, sprawa nie została zgłoszona do prokuratury i nie zostało podjęte żadne śledztwo w tej spawie. „Ministerstwo Cyfryzacji nie posiada informacji, czy podmioty dotknięte cyberatakiem złożyły zawiadomienie do prokuratury” – czytamy w odpowiedzi MC na interpelację poselską.
KOMENTARZ ANALITYCZNY: Opisywany atak na infrastrukturę krytyczną, w tym przypadku energetykę, musi skłaniać rządzących do podjęcia bezprecedensowych działań ochronnych. Śledztwo techniczne przeprowadzone przez Zespół CERT wskazuje na skuteczne działania cyberprzestępców, skuteczne odcięcie farm wiatrowych od sieci elektroenergetycznej RP oraz podjętą próbą destabilizacji całego systemu krajowego. Specyfika ataku wskazuje na zaplanowane działania celowe, nakierowane na intencjonalne wywołanie awarii elementów infrastruktury energetycznej. Ponieważ nie wykazano elementów szantażu, wykluczyć należy na tym etapie motywację materialną. Należy zatem przyjąć, iż atak miał na celu działania o charakterze sabotażowym (w przypadkach motywacji ideologicznych, zazwyczaj sprawcy przyznają się do działań, wskazując wspieraną ideę). Wiedza potrzebna do przeprowadzeniu ataku nie ograniczała się wyłącznie do dziedziny cyberbezpieczeństwa, ale wyraźnie wspierana była przez specjalistów mających praktyczną wiedzę w zakresie projektowania i utrzymywania sieci energetycznych.
Choć domniemany cel sabotażowy (paraliż, odczuwalne braki w dostępie do usług) nie został osiągnięty, to ataki na infrastrukturę i będąca ich efektem kompromitacja elementów tej infrastruktury uznać należy za udane i dobrze zaplanowane. Raport CERT obnaża niski poziom zabezpieczenia elementów infrastruktury krytycznej, w aspekcie bezpieczeństwa teleinformatycznego w tym m.in.:
– pozostawianie standardowych użytkowników i haseł na urządzeniach stanowiących elementy infrastruktury;
– brak monitorowania stanu urządzeń i ich logów systemowych (atakujący miesiącami korzystali z przejętych elementów infrastruktury);
– brak bieżącego wykrywania prób ataków, jak również standardowych elementów przygotowania do ataku, jak np. skanowanie portów i zakresów adresowych IP;
– brak wykrywania anomalii w sieciach należących do infrastruktury.
W powyższym kontekście Raport powinien być dostępny wyłącznie dla zainteresowanych jednostek reprezentujących sektor infrastruktury krytycznej, przynajmniej do czasu aż niezależne audyty bezpieczeństwa potwierdzą, że poziom zabezpieczenia wszystkich dostawców usług krytycznych jest na zadowalającym poziomie. Opublikowanie Raportu CERT tak szybko po ataku, to wysłanie sygnału do innych grup APT o efektywnych możliwościach i technikach potencjalnych ataków na elementy infrastruktury krytycznej, ale też rodzaj instrukcji i schematu postępowania dla grup APT, których motywacje mogą być też inne, a którym brakowało wiedzy z zakresu struktur i urządzeń wykorzystywanych w sektorze energetycznym.
Opracowała Patrycja Bryt
Dodaj komentarz