Raport z incydentu w sektorze energii z 29 grudnia 2025 roku

cert.pl 6 godzin temu

Pobierz raport (PDF, 5.6MB) Pobierz raport (PDF, 5.6MB)

W dniu 29 grudnia 2025 roku w godzinach porannych oraz popołudniowych doszło do skoordynowanych ataków w polskiej cyberprzestrzeni. Były one wymierzone w co najmniej 30 farm wiatrowych i fotowoltaicznych, spółkę prywatną z sektora produkcyjnego oraz w dużą elektrociepłownię dostarczającą ciepło dla prawie pół miliona odbiorców w Polsce.

Wszystkie ataki miały cel wyłącznie destrukcyjny. Poprzez analogię do świata fizycznego można je porównać do celowych podpaleń. Warto dodać, iż był to okres, w którym Polska zmagała się z niskimi temperaturami i zamieciami śnieżnymi, tuż przed Nowym Rokiem. Choć ataki na farmy odnawialnych źródeł energii spowodowały zerwanie komunikacji pomiędzy tymi obiektami a operatorami sieci dystrybucyjnej, nie miały jednak wpływu na biężącą produkcję energii elektrycznej. Podobnie, atak na elektrociepłownię nie osiągnął planowanego przez atakującego skutku w postaci spowodowania przerw w dostawie ciepła do odbiorców końcowych.

Zdarzenia te miały wpływ zarówno na systemy informatyczne, jak i na fizyczne urządzenia przemysłowe, co jest rzadko spotykane w dotychczas opisywanych atakach. Publikujemy raport z analizy tego incydentu, aby przekazać wiedzę o przebiegu zdarzeń oraz o technikach zastosowanych przez atakującego. Liczymy, iż dzięki temu wzrośnie świadomość realnego ryzyka związanego z dywersją w cyberprzestrzeni. Odnotowane ataki są znaczną eskalacją w porównaniu ze zdarzeniami obserwowanymi przez nas do tej pory.

Atak na farmy odnawialnych źródeł energii (OZE)

Atakami zostały dotknięte stacje elektroenergetyczne - główne punkty odbioru, które pełnią rolę węzłów przekazujących energię ze źródeł wiatrowych i fotowoltaicznych do sieci dystrybucyjnej. W głównych punktach odbioru działa wiele urządzeń w obszarze automatyki przemysłowej, które znalazły się w zainteresowaniu atakującego. Wśród nich są sterowniki RTU odpowiedzialne za telemechanikę i nadzór nad pracą stacji, lokalne HMI wizualizujące stan pracy obiektu, sterowniki zabezpieczeń odpowiedzialne m.in. za ochronę przed uszkodzeniami elektrycznymi czy urządzenia służące do komunikacji, takie jak serwery portów szeregowych, modemy, routery i przełączniki sieciowe.

Po uzyskaniu dostępu do sieci wewnętrznej głównych punktów odbioru atakujący przeprowadził rekonesans, a następnie przygotował plan działań destrukcyjnych skierowanych na dostępne dla niego urządzenia: uszkodzenie systemu wbudowanego sterowników, usuwanie plików systemowych czy uruchomienie przygotowanego złośliwego systemu uszkadzającego pliki (wiper). Częściowo zautomatyzowany plan został uruchomiony w godzinach porannych 29 grudnia. W efekcie uszkodzenia sterowników RTU stacje utraciły możliwość komunikacji z systemami operatora sieci dystrybucyjnej i uniemożliwiły zdalne sterowanie, co jednak nie wpłynęło na bieżącą produkcję energii.

Atak na dużą elektrociepłownię

Celem ataku na elektrociepłownię był sabotaż w postaci nieodwracalnego uszkodzenia danych znajdujących się na urządzeniach w sieci wewnętrznej podmiotu dzięki złośliwego systemu typu wiper. Atak został poprzedzony długotrwałą infiltracją infrastruktury i kradzieżą wrażliwych informacji dotyczących działania podmiotu. W wyniku swoich działań atakujący uzyskał dostęp do kont uprzywilejowanych, co umożliwiło mu swobodne poruszanie się w systemach elektrociepłowni. W momencie próby uruchomienia złośliwego systemu jego działanie zostało zablokowane przez używane w podmiocie oprogramowanie klasy EDR.

Atak na przedsiębiorstwo z sektora produkcyjnego

Tego samego dnia, a więc 29 grudnia, atakujący podjął również próbę zakłócenia funkcjonowania przedsiębiorstwa z sektora produkcyjnego. Działania te zostały przeprowadzone w sposób skoordynowany z atakami na przedsiębiorstwa sektora energetycznego, ale cel miał charakter oportunistyczny i nie jest powiązany z innymi podmiotami. Użyte oprogramowanie typu wiper było tożsame z tym wykorzystanym w ataku na elektrociepłownię. Szczegółową analizę techniczną złośliwego systemu przedstawiamy w raporcie.

Atrybucja

Analiza infrastruktury wykorzystanej do ataku, w tym przejętych serwerów VPS, routerów, analiza przepływów i charakterystyka infrastruktury anonimizującej pozwala stwierdzić, iż w znacznym stopniu pokrywa się ona z infrastrukturą używaną przez klaster aktywności znany w przestrzeni publicznej jako „Static Tundra” (Cisco), „Berserk Bear” (CrowdStrike), „Ghost Blizzard” (Microsoft) oraz „Dragonfly” (Symantec). Publicznie dostępne opisy działań aktora wskazują na duże zainteresowanie sektorem energetyki oraz posiadanie odpowiednich umiejętności atakowania urządzeń przemysłowych, co jest zbieżne z obserwowanymi w incydencie działaniami atakującego. Jest to natomiast pierwsza publicznie opisana aktywność o charakterze destrukcyjnym przypisywana do tego klastra aktywności.

Rekomendacje

Poniżej zamieszczamy rekomendacje wynikające z analizy incydentu:

  1. Weryfikacja logów pod kątem występowania IoC oraz technik wykorzystywanych przez aktora, opisanych w raporcie. Należy zgłosić incydent do adekwatnego zespołu CSIRT poziomu krajowego w przypadku ich wykrycia.
  2. Rejestracja w systemie moje.cert.pl. Należy podać i zweryfikować wszystkie zakresy zewnętrznej adresacji IP oraz wykorzystywane przez organizacje domeny, co umożliwi monitorowanie bezpieczeństwa tych zasobów. Wyznaczona osoba odpowiedzialna za cyberbezpieczeństwo powinna być wskazana w portalu jako osoba do kontaktu. Należy utrzymywać aktualność podanych danych kontaktowych.
  3. Wdrożenie rekomendacji dla wzmocnienia ochrony systemów OT opisanych w artykule Rekomendacje dla wzmocnienia ochrony systemów OT.
  4. Zastosowanie rekomendacji opisanych w Komunikacie Pełnomocnika Rządu do spraw Cyberbezpieczeństwa dotyczącym cyberbezpieczeństwa OZE.
  5. Zgłaszanie incydentów cyberbezpieczeństwa do adekwatnego zespołu CSIRT poziomu krajowego:
    • CSIRT GOV - administracja rządowa i infrastruktura krytyczna,
    • CSIRT MON - instytucje wojskowe,
    • CSIRT NASK - wszystkie pozostałe.

Zachęcamy do pobrania i lektury raportu, w którym opisujemy pełny przebieg zdarzeń, analizę techniczną użytego złośliwego oprogramowania, wskaźniki kompromitacji oraz opis technik, taktyk i procedur stosowanych przez atakującego.

Idź do oryginalnego materiału
  1. Strona główna
  2. Serwisy SEC
  3. Raport z incydentu w sektorze energii z 29 grudnia 2025 roku

Polecane

Dzwonu Pokoju i Przyjaźni Między Narodami przeszedł przegląd konserwatorski

Dzwonu Pokoju i Przyjaźni Między Narodami przeszedł przegląd...

20 godzin temu
Nowy Targ. Dwa granaty odnalezione podczas prac budowlanych w Miejskiej Hali Lodowej

Nowy Targ. Dwa granaty odnalezione podczas prac budowlanych ...

1 dzień temu
Fałszywy alarm bombowy na lotnisku w Krakowie-Balicach

Fałszywy alarm bombowy na lotnisku w Krakowie-Balicach

4 dni temu
Nie daj się oszukać metodą na podszywacza. Ogólnopolska kampania BLIK i polskiej Policji

Nie daj się oszukać metodą na podszywacza. Ogólnopolska kamp...

2 tygodni temu
Pomyłka z walizką i działania minersko-pirotechniczne na krakowskim lotnisku

Pomyłka z walizką i działania minersko-pirotechniczne na kra...

3 tygodni temu
RUSZYŁ PROCES MADURO. DYKTATOR Z ŻONĄ USŁYSZELI ZARZUTY

RUSZYŁ PROCES MADURO. DYKTATOR Z ŻONĄ USŁYSZELI ZARZUTY

3 tygodni temu
Niewybuchy w lesie. Mieszkaniec powiadomił służby

Niewybuchy w lesie. Mieszkaniec powiadomił służby

4 tygodni temu
Delegacja ZOR RP wzięła udział w spotkaniu opłatkowym w 2 Mazowieckim pułku saperów w Kazuniu

Delegacja ZOR RP wzięła udział w spotkaniu opłatkowym w 2 Ma...

1 miesiąc temu
One Mitzvah for Bondi – akt dobroci w odpowiedzi na tragedię w Bondi

One Mitzvah for Bondi – akt dobroci w odpowiedzi na tragedię...

1 miesiąc temu