Skoordynowany atak na infrastrukturę krytyczną z 29 grudnia 2025 r. miał charakter czysto sabotażowy. Eksperci CERT Polska szczegółowo opisali techniki, które niemal doprowadziły do paraliżu dostaw energii.

Ministerstwo Infrastruktury właśnie opublikowało raport CERT Polska, który odsłania kulisy sabotażowego cyberataku na Polskę, wymierzonego w infrastrukturę energetyczną. Atak miał charakter międzynarodowy, za którym stoi rosyjska grupa hakerska, znaną z operacji wymierzonych w infrastrukturę krytyczną państw NATO i Unii Europejskiej.

Skoordynowany uderzenie w infrastrukturę krytyczną

29 grudnia 2025 roku hakerzy zaatakowali polski sektor energetyczny. Uderzyli w co najmniej 30 farm wiatrowych i fotowoltaicznych. Jednocześnie celem stała się także duża elektrociepłownia, która ogrzewa niemal pół miliona odbiorców w Polsce. Atakujący zaatakowali także prywatne przedsiębiorstwo produkcyjne.

Co więcej, hakerzy zsynchronizowali uderzenie z okresem ekstremalnie niskich temperatur i zamieci śnieżnych. Eksperci CERT Polska zbadał i zanalizował dane z sieci i dowiedział się, że za tym stoi jedna grupa hakerska. Atak dotknął zarówno klasycznych systemów informatycznych (IT), jak i fizycznych urządzeń przemysłowych (OT). Takie połączenie jest rzadkością w dotychczasowej historii cyberataków w Europie. W rezultacie specjaliści oceniają to zdarzenie jako znaczącą eskalację zagrożeń hybrydowych.

Armia / News / Polityka

Ministerstwo potwierdza Faktom Plus cyberatak na sieć energetyczną

Warto zauważyć, że atak nie wpłynął bezpośrednio na stabilność krajowego systemu elektroenergetycznego. Jednak hakerzy uzyskali tak wysoki poziom dostępów, że realnie mogli zatrzymać produkcję energii w wielu obiektach. W przypadku farm OZE (Odnawialne Źródła Energii) hakerzy zaatakowali stacje elektroenergetyczne GPO. Są to punkty, w których instalacje łączą się z siecią dystrybucyjną. Ponieważ obiekty te są zarządzane zdalnie, stały się łatwym celem dla zorganizowanej grupy przestępczej.

Mechanizm ataku: Od luk w VPN do przejęcia sterowników

Wektorem ataku na farmy OZE okazały się urządzenia Fortigate pełniące funkcję koncentratorów VPN. Hakerzy wykorzystali fakt, że interfejsy te były dostępne bezpośrednio z internetu bez wieloskładnikowego uwierzytelniania. Co gorsza, w branży powszechnie stosuje się te same hasła w wielu obiektach. Po przejęciu uprawnień administratora hakerzy przywracali urządzenia do ustawień fabrycznych. Robili to, aby zatrzeć ślady i utrudnić przywrócenie sprawności sieci.

Następnie agresorzy uderzyli w sterowniki RTU odpowiedzialne za telemechanikę i nadzór nad stacjami. W przypadku urządzeń Hitachi RTU560 hakerzy zalogowali się do interfejsu webowego i wgrali uszkodzony firmware. Zmodyfikowany plik powodował nieskończoną pętlę restartu procesora. Z kolei na sterownikach firmy Mikronika atakujący użyli konsoli SSH z uprawnieniami root. Następnie wykonali polecenie usuwające wszystkie pliki systemowe, co trwale unieruchomiło sprzęt.

Równolegle hakerzy zaatakowali serwery portów Moxa Nport. Zmienili oni adresy IP urządzeń na nieosiągalne i ustawili nowe hasła logowania. Takie działanie miało na celu maksymalne wydłużenie czasu przestoju. Specjaliści podkreślają, że hakerzy działali w sposób częściowo zautomatyzowany. Uszkadzali urządzenia kolejno po adresacji IP. Jeśli w danym segmencie atak się nie powiódł, hakerzy natychmiast przechodzili do kolejnych celów.

Infiltracja elektrociepłowni i złośliwe oprogramowanie DynoWiper

W elektrociepłowni scenariusz ataku był znacznie bardziej zaawansowany. Tam hakerzy prowadzili infiltrację infrastruktury już od marca 2025 roku. Przez kilka miesięcy kradli poświadczenia i prowadzili rozpoznanie systemów automatyki przemysłowej (SCADA). Wykorzystywali do tego narzędzia systemowe takie jak ping oraz nslookup, aby uniknąć detekcji. W rezultacie uzyskali dostęp do kontrolerów domeny Active Directory i wykradli bazę haseł.

News / Społeczeństwo

Ministerstwo Cyfryzacji ostrzega: cyberprzestępcy podszywają się pod aplikację mObywatel

Punktem kulminacyjnym było uruchomienie oprogramowania typu wiper, które CERT Polska nazwał DynoWiper. Jest to autorski malware stworzony wyłącznie do nieodwracalnej destrukcji danych. Hakerzy próbowali rozesłać go na setki maszyn za pomocą polityk GPO (Group Policy Objects). Na szczęście oprogramowanie klasy EDR rozpoznało podejrzaną aktywność i zablokowało proces nadpisywania danych na ponad 100 stacjach roboczych.

Oprócz DynoWipera hakerzy stworzyli także LazyWiper – skrypt napisany w języku PowerShell. To narzędzie nadpisywało 2/3 zawartości plików o wybranych rozszerzeniach (m.in. .zip, .sql, .pdf, .exe). Takie działanie uniemożliwiało późniejsze odzyskanie danych. Warto dodać, że hakerzy podjęli również próbę fizycznego zniszczenia dysków na serwerach. W tym celu uruchomili minimalistyczną dystrybucję Linuxa i nadpisali fragmenty macierzy RAID losowymi danymi.

Ślady prowadzą do rosyjskich grup APT

Analiza infrastruktury sieciowej oraz techniki ataku pozwoliły na powiązanie incydentu z konkretnym źródłem. Eksperci CERT wskazują, że infrastruktura hakerów pokrywa się ze ugrupowaniem Static Tundra (znanym też jako Berserk Bear lub Dragonfly). Grupa ta jest od lat łączona z operacjami Federacji Rosyjskiej przeciwko sektorowi energii w państwach NATO. Jest to jednak pierwszy przypadek, gdy przypisano im działania o tak silnym charakterze destrukcyjnym.

Hakerzy korzystali z przejętych serwerów VPS oraz routerów Cisco w celu anonimizacji swoich działań. Niektóre techniki dystrybucji złośliwego oprogramowania przypominały metody stosowane przez grupę Sandworm. Jednak podobieństwo kodu źródłowego DynoWipera do wcześniej znanych narzędzi było zbyt niskie, aby postawić jednoznaczną tezę o współpracy obu grup. Mimo to profil ataku – wymierzony w energetykę w czasie mrozów – idealnie wpisuje się w definicję wojny hybrydowej.

Raport CERT Polska stanowi alarm dla całego sektora energii w Polsce. Cyberataki przestały być domeną biurowego IT i uderzyły bezpośrednio w procesy produkcyjne. Konieczne jest wdrożenie uwierzytelniania wieloskładnikowego we wszystkich systemach zdalnego dostępu. Ponadto operatorzy muszą regularnie aktualizować firmware sterowników przemysłowych. Tylko systemowe wzmocnienie cyberbezpieczeństwa pozwoli uniknąć poważnych zakłóceń w dostawach ciepła i prądu w przyszłości.

Źródło: CERT Polska

Sławek Gil