O włos od paraliżu. Eksperci ujawniają kulisy grudniowego ataku na polską energetykę

Opublikowany przez CERT Polska dokument rzuca nowe światło na wydarzenia z 29 grudnia 2025 roku. To właśnie tego dnia, co oficjalnie potwierdził premier Donald Tusk w godzinach porannych i popołudniowych, polski sektor energetyczny stał się celem zmasowanej kampanii dywersyjnej. Atakujący uderzyli jednocześnie w co najmniej 30 farm wiatrowych i fotowoltaicznych, a także w kluczową elektrociepłownię, która odpowiada za dostawy ciepła dla blisko pół miliona obywateli. Równolegle zaatakowano prywatną spółkę z sektora produkcyjnego.

Moment ataku nie był przypadkowy i wskazuje na chęć wywołania maksymalnych szkód społecznych i gospodarczych. Jak czytamy w raporcie, był to okres, w którym Polska zmagała się z niskimi temperaturami i zamieciami śnieżnymi, tuż przed Nowym Rokiem. Wyłączenie dostaw ciepła lub energii w takich warunkach mogłoby doprowadzić do katastrofy humanitarnej. Analitycy CERT Polska nie mają wątpliwości co do intencji sprawców. W dokumencie podkreślono, że wszystkie ataki miały cel wyłącznie destrukcyjny. Autorzy raportu używają mocnego porównania, pisząc, że poprzez analogię do świata fizycznego można je porównać do celowych podpaleń.

Adam Heartle, założyciel eksperckiego portalu ZaufanaTrzeciaStrona.pl w rozmowie zmoney.pl wskazuje, że atak nie był pełnym "sukcesem".

- W grudniowym incydencie na szczęście byliśmy daleko od blackoutu. Po pierwsze napastnikom nie udało się wyłączyć produkcji energii elektrycznej, ich działania zakłóciły jedynie możliwości sterowania produkcją. Po drugie, nawet gdyby udało im się wyłączyć produkcję prądu, to skala ataku była zbyt mała, by spowodować efekt kaskadowy w sieci energetycznej - wskazuje ekspert.

Wnioski płynące z raportu CERT Polska nie są niestety zaskoczeniem. Brak podstawowych zabezpieczeń, brak prawidłowej konfiguracji i aktualizacji urządzeń, stosowanie trywialnych lub powtarzalnych haseł to powszechnie znane grzechy administratorów. Mam nadzieję, że grudniowe zdarzenie będzie impulsem do zmiany tego podejścia, choć historia podpowiada, że raczej nie należy się spodziewać masowego podnoszenia bezpieczeństwa infrastruktury krytycznej. Dużo lepszego efektu spodziewam się, jeśli w życie wejdzie ustawa wdrażająca nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Przepisy, czekające już tylko (lub aż) na podpis prezydenta, wprowadzają kary dla podmiotów, które będąc odpowiedzialne za krytyczne funkcje państwa, nie zabezpieczą odpowiednio swoich systemów. Być może taka motywacja wystarczy, by coś zmieniło się na lepsze - podsumowuje Heartle.

Skala operacji wymierzonej w sektor OZE była znaczna. Hakerzy obrali za cel stacje elektroenergetyczne, pełniące funkcję Głównych Punktów Odbioru (GPO). Są to newralgiczne węzły, które przekazują energię wyprodukowaną przez wiatraki i panele słoneczne bezpośrednio do sieci dystrybucyjnej. Wewnątrz tych stacji znajduje się szereg urządzeń automatyki przemysłowej, które znalazły się w centrum zainteresowania przestępców.

Z technicznego punktu widzenia atakujący skupili się na sterownikach RTU, które odpowiadają za telemechanikę i nadzór nad pracą stacji, a także na lokalnych systemach wizualizacji HMI oraz sterownikach zabezpieczeń. Przejęcie kontroli nad tymi systemami pozwoliło na przeprowadzenie działań destrukcyjnych. W raporcie czytamy, że po uzyskaniu dostępu do sieci wewnętrznej atakujący przeprowadził rekonesans, a następnie przygotował plan działań destrukcyjnych skierowanych na dostępne dla niego urządzenia. Działania te obejmowały uszkodzenie oprogramowania wbudowanego sterowników, usuwanie kluczowych plików systemowych oraz uruchomienie złośliwego oprogramowania typu wiper, którego zadaniem jest nieodwracalne niszczenie danych.

Skutkiem tych działań było zerwanie komunikacji pomiędzy farmami a operatorami sieci dystrybucyjnej. Stacje utraciły możliwość zdalnego sterowania, co w sytuacjach awaryjnych mogłoby uniemożliwić reakcję operatora. Mimo to, jak uspokajają eksperci, atak nie miał wpływu na bieżącą produkcję energii elektrycznej. Systemy bezpieczeństwa zadziałały w taki sposób, że mimo utraty "oczu i uszu" przez operatorów, prąd nadal płynął do sieci. Jednak sam fakt, że zdarzenia te miały wpływ zarówno na systemy informatyczne, jak i na fizyczne urządzenia przemysłowe, jest sygnałem alarmowym. Jest to zjawisko rzadko spotykane w dotychczas opisywanych incydentach i świadczy o rosnących kompetencjach grup cyberprzestępczych w zakresie technologii operacyjnej (OT).

Analiza przeprowadzona przez CERT Polska obnażyła również słabości w zabezpieczeniach zaatakowanych podmiotów. W przypadku farm OZE wektorem wejścia okazały się urządzenia brzegowe typu Fortigate, pełniące funkcje koncentratorów VPN. W każdym z analizowanych przypadków interfejs VPN był wystawiony do publicznej sieci Internet i umożliwiał logowanie bez wieloskładnikowego uwierzytelniania (MFA). Co więcej, w branży powszechną praktyką okazało się wykorzystywanie tych samych haseł w wielu obiektach, co znacznie ułatwiło zadanie atakującym. Przejęcie jednego konta otwierało drogę do kolejnych stacji.

Szczególnie niepokojące są informacje o wykorzystaniu domyślnych haseł w urządzeniach automatyki. W raporcie wskazano, że na większości zaatakowanych farm używano sterowników Hitachi RTU560, które posiadały domyślne poświadczenia dla konta "Default". To właśnie to konto posłużyło hakerom do wgrania uszkodzonego oprogramowania układowego (firmware), co doprowadziło do nieskończonej pętli restartu urządzeń. Podobny scenariusz zrealizowano w przypadku sterowników firmy Mikronika oraz zabezpieczeń Hitachi Relion. W tych ostatnich hakerzy wykorzystali włączoną domyślnie usługę FTP, by usunąć pliki niezbędne do działania systemu.

Równolegle do ataku na farmy wiatrowe, toczyła się batalia o bezpieczeństwo jednej z dużych polskich elektrociepłowni. Tutaj stawka była jeszcze wyższa, gdyż potencjalna awaria mogła odciąć od ogrzewania pół miliona ludzi w środku zimy. W przeciwieństwie do szybkiego uderzenia na farmy OZE, operacja przeciwko elektrociepłowni była długotrwałym procesem. Ślady aktywności hakerów w infrastrukturze tego podmiotu sięgają marca 2025 roku.

Atak na elektrociepłownię został poprzedzony wielomiesięczną infiltracją i kradzieżą wrażliwych danych. Cyberprzestępcy, po uzyskaniu pierwotnego dostępu, skrupulatnie mapowali sieć, szukając systemów sterowania przemysłowego (SCADA). Wykorzystywali do tego standardowe narzędzia administracyjne, co utrudniało ich wykrycie. W lipcu 2025 roku udało im się dokonać zrzutu całej bazy Active Directory, co dało im klucze do niemal wszystkich drzwi w cyfrowym zamku elektrociepłowni. Uzyskali dostęp do kont uprzywilejowanych, co umożliwiło im swobodne poruszanie się w systemach.

Kulminacja nastąpiła 29 grudnia. Celem był sabotaż w postaci nieodwracalnego uszkodzenia danych znajdujących się na urządzeniach w sieci wewnętrznej. Hakerzy przygotowali złośliwe oprogramowanie typu wiper, nazwane przez analityków DynoWiper. Zostało ono rozesłane na ponad 100 maszyn w sieci elektrociepłowni za pomocą polityk grupowych (GPO). W tym krytycznym momencie zadziałały jednak systemy obronne. Używane w podmiocie oprogramowanie klasy EDR (Endpoint Detection and Response) zablokowało działanie szkodnika w momencie próby jego uruchomienia. Dzięki temu atak na elektrociepłownię nie osiągnął planowanego przez atakującego skutku w postaci spowodowania przerw w dostawie ciepła do odbiorców końcowych.

Kluczowym elementem raportu jest sekcja poświęcona atrybucji, czyli próbie przypisania ataku do konkretnej grupy przestępczej. Eksperci CERT Polska, po przeanalizowaniu infrastruktury sieciowej wykorzystanej przez hakerów (serwery VPS, routery), doszli do wniosku, że pokrywa się ona w znacznym stopniu z zasobami używanymi przez znany klaster aktywności. W przestrzeni publicznej grupa ta funkcjonuje pod nazwami "Static Tundra", "Berserk Bear", "Ghost Blizzard" lub "Dragonfly".

Są to nazwy kojarzone przez międzynarodową społeczność cyberbezpieczeństwa z działaniami o charakterze szpiegowskim, wymierzonymi w sektory energetyczne państw zachodnich. Publicznie dostępne opisy działań aktora wskazują na duże zainteresowanie sektorem energetyki oraz posiadanie odpowiednich zdolności do atakowania urządzeń przemysłowych, co jest zbieżne z obserwowanymi w incydencie działaniami atakującego. Eksperci podkreślają jednak istotną zmianę w modus operandi tej grupy. Jest to pierwsza publicznie opisana aktywność o charakterze destrukcyjnym przypisywana do tego klastra aktywności. Dotychczas grupa ta koncentrowała się na kradzieży informacji, teraz przeszła do otwartego sabotażu.

Wśród rekomendacji, które mają zapobiec powtórce takiego scenariusza, na pierwszy plan wysuwa się konieczność weryfikacji logów pod kątem występowania wskaźników kompromitacji (IoC). Kluczowe jest również wdrożenie wieloskładnikowego uwierzytelniania oraz separacja sieci technologicznych od Internetu. Odnotowane ataki są znaczną eskalacją w porównaniu ze zdarzeniami obserwowanymi przez nas do tej pory – podsumowują autorzy raportu, wskazując, że okres względnego spokoju w cyberprzestrzeni energetycznej definitywnie dobiegł końca.

Robert Kędzierski, dziennikarz money.pl