Kolejny atak w cyberprzestrzeni. Ślady wojny hybrydowej znów wiodą do Moskwy

Wydarzenia z ostatnich miesięcy w Polsce i Europie Zachodniej układają się w niepokojący, spójny scenariusz. To, co jeszcze kilka lat temu eksperci określali mianem incydentów, dziś przybiera formę zorganizowanej kampanii sabotażowej.

Infrastruktura krytyczna znalazła się na celowniku, a metody działania agresora ewoluują w stronę coraz bardziej bezpośrednich i fizycznych zagrożeń. Przykład to ingerencja w ćwiczenia wojskowe z udziałem holenderskich żołnierzy, zakłócenie działania lotnisk w Danii, Belgii oraz w Norwegii.

We wtorek i środę niemieckie koleje Deutsche Bahn zmagały się z poważną awarią systemów rezerwacyjnych, spowodowaną atakiem typu DDoS (Distributed Denial of Service). Choć atak ten nie zagrażał bezpośrednio bezpieczeństwu ruchu pociągów, skutecznie sparaliżował możliwość zakupu biletów i planowania podróży, wywołując chaos komunikacyjny.

Niemiecki urząd do spraw bezpieczeństwa BSI określił ten incydent jako "niezwykle poważny".

– Ataki DDoS często mają działać propagandowo, udowadniać, że infrastruktura nie działa. Zdarza się również, że służą one do tuszowania innej ingerencji. Gdy jesteśmy zajęci odpieraniem ataku DDoS, a w tym samym czasie gdzieś w tle ma miejsce inny, właściwy atak – oceniła Claudia Plattner, szefowa urzędu, w wywiadzie dla stacji WDR.

W piątek ukraińskie Centrum Przeciwdziałania Dezinformacji oceniło, że za atakami na DB mogły stać grupy kontrolowane przez Rosję, a świadczyć o tym ma charakter ataków i zastosowane w nich narzędzia. Ani niemiecki przewoźnik, ani służby nie podały na razie oficjalnie, kto stoi za atakiem.

W czwartek portal tagesschau.de napisał, że od kilku lat takie ataki są w Niemczech częste, a od czasu rosyjskiej inwazji na Ukrainę Federalny Urząd ds. Bezpieczeństwa Informatycznego odnotowuje ich dalszy wzrost. Nie jest jednak jasne, czy za tym konkretnym atakiem na Deutsche Bahn stoi Rosja.

Ulrike Franke, ekspertka ds. bezpieczeństwa, w środowej rozmowie z amerykańską stacją NPR stwierdziła z kolei wprost, że Moskwa wyraźnie postawiła sobie atakowanie Zachodu za priorytet.

Mam wrażenie, że te ataki stają się coraz bardziej dotkliwe, ponieważ Rosja stara się wpłynąć na opinię społeczną w krajach europejskich. Logika jest taka, że jeśli społeczeństwo się przestraszy i poczuje, że jego własne służby, policja itp. nie są w stanie przeciwdziałać, może naciskać na bardziej ugodowe stanowisko wobec Rosji. I być może stać się mniej skłonnym do wspierania Ukrainy w jej wysiłkach obronnych – oceniła.

Nieco wcześniej z cyberatakami zmagały się Włochy. Włoski minister spraw zagranicznych Antonio Tajani na początku lutego poinformował, że agencje bezpieczeństwa jego kraju "udaremniły serię cyberataków pochodzenia rosyjskiego". Celem była m.in. infrastruktura związana z zimowymi igrzyskami w Mediolanie i Cortinie d'Ampezzo - np. hotele.

Z kolei pod koniec grudnia 2025 roku doszło do jednego z najpoważniejszych incydentów w historii polskiej cyberprzestrzeni. W lutym światło dzienne ujrzał poświęcony tej sprawie raport CERT Polska.

Eksperci ujawnili kulisy zmasowanego ataku, do którego doszło 29 grudnia 2025 roku. Wówczas to, w środku zimy, celem hakerów stało się co najmniej 30 farm wiatrowych i fotowoltaicznych oraz kluczowa elektrociepłownia, dostarczająca ciepło dla blisko pół miliona obywateli.

Polska zmagała się wtedy z niskimi temperaturami i zamieciami śnieżnymi. Analitycy CERT Polska w swoim raporcie wskazują, że intencje sprawców były czysto destrukcyjne, porównując cyfrowe działania do celowych podpaleń w świecie fizycznym. Hakerzy nie chcieli jedynie wyłączyć prądu – chcieli trwale uszkodzić systemy sterowania.

W grudniowym incydencie na szczęście byliśmy daleko od blackoutu. Po pierwsze napastnikom nie udało się wyłączyć produkcji energii elektrycznej, ich działania zakłóciły jedynie możliwości sterowania produkcją. Po drugie, nawet gdyby udało im się wyłączyć produkcję prądu, to skala ataku była zbyt mała, by spowodować efekt kaskadowy w sieci energetycznej – mówił na początku lutego Adam Haertle, założyciel portalu ZaufanaTrzeciaStrona.pl w rozmowie z serwisem money.pl.

Techniczny aspekt tego ataku obnaża jednak zaniedbania po stronie administratorów infrastruktury - wynika z ustaleń CERT Polska.

W przypadku zaatakowanej elektrociepłowni sytuacja była jeszcze bardziej dramatyczna. Infiltracja sieci trwała od marca 2025 roku. Cyberprzestępcy skrupulatnie mapowali systemy, by w godzinie "zero" uruchomić złośliwe oprogramowanie typu wiper, nazwane DynoWiper, którego jedynym celem jest nieodwracalne niszczenie danych.

Katastrofie zapobiegły systemy obronne klasy EDR, które zablokowały szkodnika w ostatniej chwili. Ślady cyfrowe, w tym wykorzystana infrastruktura sieciowa, wskazują na grupę znaną jako "Dragonfly" lub "Berserk Bear", powiązaną z rosyjskimi służbami wywiadowczymi.

Jesteśmy na cybercelowniku Moskwy. Ataki rosyjskich grup na Polskę wzrosły pięciokrotnie - mówił w rozmowie z "Gazetą Wyborczą" gen. dyw. Karol Molenda, Dowódca Komponentu Wojsk Obrony Cyberprzestrzeni.

Polska jest w Europie w pierwszej trójce (po Ukrainie i Wielkiej Brytanii), jeśli chodzi o cyberataki inspirowane przez obce państwo - wynika z raportu Microsoft Digital Defense Report 2025.

Wojna hybrydowa to jednak nie tylko kod binarny. Równolegle do działań w cyberprzestrzeni, Polska i inne kraje NATO mierzą się z falą fizycznego sabotażu. Przykładem takiej eskalacji jest incydent w miejscowości Mika w województwie mazowieckim, gdzie 17 listopada 2025 roku doszło do eksplozji na linii kolejowej prowadzącej w kierunku Ukrainy.

– Rosjanie chcą sprawdzić, na ile mogą sobie pozwolić, jaka będzie polska odpowiedź, jak zareagują media, jak zareagują nasze służby bezpieczeństwa i jakie dowody odkryjemy – mówił Jacek Dobrzyński, rzecznik Ministra Koordynatora Służb Specjalnych, cytowany przez NPR.

– Rekrutują tych "jednorazowych" przez komunikator Telegram i płacą im niewielkie pieniądze za robienie na początku małych rzeczy, jak obserwowanie tras kolejowych i raportowanie im, albo malowanie sprayem antyunijnych graffiti w mieście, rzeczy tego typu. A jeśli są w tym dobrzy, wtedy proszą ich o zrobienie poważniejszych rzeczy, jak podpalanie budynków – mówi Jacek Dobrzyński w rozmowie z NPR.

Ten mechanizm zadziałał w przypadku głośnych podpaleń, które miały miejsce w 2024 i 2025 roku. Przykładem jest pożar centrum handlowego Marywilska 44 w Warszawie czy podpalenie sklepu IKEA w Wilnie. Śledczy ustalili, że za tymi aktami stali ludzie zwerbowani przez rosyjski wywiad wojskowy GRU, często nieświadomi, dla kogo tak naprawdę pracują, lub motywowani wyłącznie szybkim zarobkiem.

Analiza opublikowana przez instytut GLOBSEC rzuca nowe światło na zaplecze tych operacji. Rosyjskie służby specjalne, borykając się z niedoborem kadr po masowych wydaleniach dyplomatów-szpiegów z Europy, coraz chętniej sięgają po zasoby zorganizowanych grup przestępczych. To swoista symbioza: państwo daje przestępcom parasol ochronny i bezkarność w zamian za realizację "brudnej roboty" za granicą.

Raport GLOBSEC wskazuje na głębokie powiązania między rosyjskim wywiadem a światem przestępczym, które sięgają jeszcze lat 90. i transformacji ustrojowej. Dziś te relacje są wykorzystywane do finansowania i przeprowadzania operacji hybrydowych.

Przykładem jest kartel narkotykowy Khimprom, operujący na styku Rosji i Ukrainy, który mimo wojny wciąż posiada potężne wpływy i zasoby. Pieniądze z przemytu narkotyków, handlu ludźmi czy nielegalnego obrotu tytoniem (wspieranego przez reżim białoruski) zasilają czarne fundusze operacyjne, z których opłacani są sabotażyści i hakerzy.

Ponad 750 rosyjskich dyplomatów zostało wydalonych z Europy od czasu inwazji Putina, ogromna większość z nich to szpiedzy. To wykracza poza wszelkie historyczne precedensy i poważnie nadszarpnęło zdolność rosyjskich służb wywiadowczych do wyrządzania szkód na Zachodzie. Tak jak zrobili to na Ukrainie, musimy jednak oczekiwać, że dostosują się i zaadaptują – mówi Ken McCallum, dyrektor generalny MI5, cytowany w raporcie GLOBSEC.

Bardziej rzucającą się w oczy zmianą w tym roku było zwrócenie się rosyjskich aktorów państwowych do pośredników w celu wykonania ich brudnej roboty, w tym prywatnych agentów wywiadu i przestępców zarówno z Wielkiej Brytanii, jak i państw trzecich – dodaje.

Robert Kędzierski, dziennikarz money.pl