29 grudnia 2025 miały miejsce niespotykane do tej pory w Polsce skoordynowane ataki na infrastrukturę energetyczną. Zespół CERT Polska opublikował właśnie bardzo szczegółowy raport (także w wersji angielskiej, podeślijcie kolegom i koleżankom z innych krajów) opisujący, co tak naprawdę się stało. Zapraszamy do lektury oryginału lub naszego streszczenia poniżej.
W ciągu jednego dnia, 29 grudnia zeszłego roku, doszło do serii ataków, których ofiarą padły polskie farmy fotowoltaiczne i wiatrowe, elektrociepłownia obsługująca prawie pół miliona odbiorców oraz prywatna spółka z sektora produkcyjnego. Analiza techniczna tych ataków oraz ich zbieżność czasowa jednoznacznie wskazują, iż były one przeprowadzone przez tego samego napastnika. Nie znamy wcześniejszego przykładu tak skoordynowanej (i częściowo skutecznej) napaści na polską infrastrukturę. Zobaczmy, co dokładnie się wydarzyło.
W końcu porządny raport
Opisywane incydenty wcześniej fragmentarycznie analizowała firma ESET (prywatnie dostępna analiza złośliwego oprogramowania, publiczny artykuł dość lakoniczny) oraz firma Dragos (raport, który po usunięciu archiwalnych historii i niespecjalnie uzasadnionych spekulacji z 13 stron zmieniłby się w 13 słów). Na szczęście mamy już raport CERT Polska, który rzetelnie i w kompleksowy sposób opisuje zdarzenia z 29 grudnia oraz te, które je poprzedzały. Brawo CERT Polska!
Atak na farmy odnawialnych źródeł energii
Zaatakowanych zostało co najmniej 30 farm wiatrowych i fotowoltaicznych. Atakujący nie wyłączyli możliwości generowania energii elektrycznej, jednak niestety skutecznie uszkodzili systemy komunikacji między obiektami a operatorami sieci dystrybucyjnej. Napastnikom udało się uzyskać dostęp do stacji elektroenergetycznej, tzw. głównego punktu odbioru. GPO „zbiera” produkowany prąd, podnosi jego napięcie i przekazuje do sieci dystrybucyjnej.
Zaatakowane GPO były zdalnie zarządzane przez VPN-y, oparte na urządzeniach FortiGate i dostępne z internetu. Logowanie do VPN-ów nie wymagało wieloskładnikowego uwierzytelnienia. Niestety wszystkie zaatakowane urządzenia zostały przywrócone przez napastników do ustawień fabrycznych, przez co nie udało się odzyskać logów wskazujących na dokładny przebieg zdarzeń. Wiadomo jednak, iż zaatakowane urządzenia FortiGate były w przeszłości podatne m.in. na zdalne wykonanie kodu. Najprawdopodobniej wówczas uzyskano do nich dostęp, przejęto hasła do kont użytkowników, a następnie wykorzystano powtarzalność haseł na wielu urządzeniach w różnych farmach OZE.
Napastnik, po uzyskaniu dostępu do sieci wewnętrznej, atakował sterowniki RTU i komputery HMI. W zależności od urządzenia i producenta stosował różne strategie uszkadzania urządzeń:
- w sterownikach RTU Hitachi używał domyślnych poświadczeń do interfejsu WWW, by wgrać celowo uszkodzony firmware,
- w sterownikach RTU Mikronika używał domyślnych poświadczeń do konta root w usłudze SSH, by skasować wszystkie pliki z systemu,
- w sterownikach zabezpieczeń Hitachi Relion używał domyślnych poświadczeń do usługi FTP, dzięki której kasował pliki niezbędne do dalszego działania systemu,
- w komputerach HMI Mikronika używał hasła konta lokalnego administratora, by już 8 grudnia przejąć kontrolę nad systemem, a 29 grudnia uruchomić oprogramowanie uszkadzające system Windows 10 (DynoWiper identyczny jak w przypadku elektrociepłowni),
- w serwerach portów Moxa Nport używał domyślnych poświadczeń do interfejsu WWW, by przywrócić urządzenia do ustawień fabrycznych, zmienić hasło logowania oraz adres IP urządzenia na nieosiągalny.
Nadpisane oprogramowanie wbudowane sterownikaMimo skutecznego uszkodzenia rozwiązań odpowiedzialnych za komunikację z urządzeniami napastnikowi nie udało się przerwać generowania energii elektrycznej. W żadnym momencie nie było też ryzyka dla stabilności polskiego systemu elektroenergetycznego (tzw. blackoutu).
Atak na elektrociepłownię
W systemach zaatakowanej elektrociepłowni pierwsze ślady obecności napastników pochodzą z marca 2025. Nie mamy pewności, czy był to ten sam napastnik, który przeprowadził atak grudniowy, ale wskazują na taką możliwość zarówno rozpoznanie przeprowadzone w pierwszej połowie roku, jak i brak innej obserwowanej aktywności pomiędzy zdarzeniami z początku i końca roku.
Pierwsze ślady wskazują na dostęp do stacji przesiadkowej z urządzenia FortiGate w okresie od marca do maja 2025. Aktywność prowadzona była z użyciem wielu kont usługi SSL VPN FortiGate nieposiadających dwuskładnikowego uwierzytelnienia. Napastnik przeprowadził rozpoznanie sieci elektrociepłowni, wykazując szczególne zainteresowanie systemami automatyki przemysłowej. Sprawca wykorzystywał zarówno narzędzia systemu Windows, jak i dedykowane skanery sieciowe w celu zmapowania infrastruktury ofiary. Używał także narzędzia Impacket do komunikacji między maszynami. Doszło także do udanego zrzutu całej bazy Active Directory.
29 grudnia sprawca zalogował się do maszyny przesiadkowej, na kontrolerze domeny umieścił destrukcyjne oprogramowanie DynoWiper i uruchomił je na stacjach roboczych dzięki polityki GPO. Co ważne, choć sam plik wykonywalny nie został rozpoznany przez oprogramowanie antywirusowe, to zadziałał system EDR. Rozpoznał on próby zaszyfrowania plików celowo umieszczonych na dyskach chronionych systemów i zatrzymał proces szyfrowania. Atakujący spróbował jeszcze raz, używając nieznacznie zmodyfikowanego narzędzia, ale równie nieskutecznie. Sprawca usiłował także nadpisywać dane na dyskach serwerowych oraz rekonfigurować macierze RAID.
Inne działania sprawcy
Analogiczny atak dotknął też firmę produkcyjną. Sprawca dostał się przez podatne urządzenia FortiGate, przejął kontroler domeny i uruchomił wipera (tym razem napisanego w PowerShellu). Atakujący przeglądał także konta chmurowe w poszukiwaniu informacji o rozwiązaniach SCADA/OT.
Kto stoi za tym atakiem
Według CERT Polska najbardziej prawdopodobnymi sprawcami tego ataku jest grupa opisywana przez Cisco jako Static Tundra, stanowiąca element zagrożenia nazywanego Berserk Bear / dawniej Energetic Bear (CrowdStrike), Ghost Blizzard (Microsoft), DYMALLOY (Dragos) oraz Dragonfly (Symantec). Grupa ta została powiązana przez amerykański Departament Sprawiedliwości z rosyjską Federalną Służbą Bezpieczeństwa (FSB).
Atrybucja ta wygląda na opartą o solidne podstawy – jest nimi w szczególności zrekonstruowana komunikacja między urządzeniami oraz przepływy sieciowe. Co prawda, sprawcy sprytnie używali w atakach przejętych urządzeń, ale właśnie w ten sposób zostawili wyraźne ślady wiążące ich z poprzednimi atakami. Co ciekawe, wskazana grupa od dawna interesowała się sektorem energetycznym, ale nie podejmowała wcześniej działalności destrukcyjnej.
Analiza zidentyfikowanego złośliwego oprogramowania, choć funkcjonalnie zbieżnego z działaniami grupy Sandworm (wskazywanej jako domniemani sprawcy w raportach ESET-a i Dragosa), nie pozwala na bezpośrednie powiązanie z tym aktorem.
Analiza złośliwego oprogramowania
Osoby zainteresowane tym aspektem ataku odsyłamy do oryginalnego raportu – jego autorzy włożyli sporo pracy w szczegółowy opis narzędzi napastnika. Co ciekawe, w kodzie znaleziono ścieżkę:
C:\Users\vagrant\Documents\Visual Studio 2013\Projects\Source\Release\Source.pdbna której ślad nie natrafiono w żadnej innej dostępnej w sieci próbce.
Podsumowanie
Przede wszystkim czytelnikom polecamy lekturę oryginalnego raportu.
Osoby odpowiedzialne za bezpieczeństwo firm i instytucji zachęcamy do przejrzenia logów systemów antywirusowych. Z raportu CERT Polska wprost wynika, iż w systemach zaatakowanej elektrociepłowni nie brakowało wcześniejszych śladów włamania i niepokojących zdarzeń w logach.
Firmom wdrażającym rozwiązania zdalnego sterowania farmami fotowoltaicznymi i wiatrowymi rekomendujemy zmianę domyślnych haseł i wdrożenie dwuskładnikowego logowania.
Posiadaczom urządzeń FortiGate przypominamy o nieustającej konieczności regularnej aktualizacji ich systemu – podatności występują często, a choćby doba opóźnienia w zainstalowaniu nowej wersji może owocować takimi raportami, jak opisany powyżej.
Wszystkim administratorom przypominamy o możliwości darmowego zgłoszenia swojej infrastruktury do monitoringu bezpieczeństwa w serwisie moje.cert.pl. Gdyby osoby obsługujące farmy wiatrowe i fotowoltaiczne pomyślały o tym wcześniej, to tego incydentu mogłoby nie być. Nie bądź jak oni, zgłoś swoje adresy do moje.cert.pl.
