Atak prorosyjskiej grupy na oczyszczalnię ścieków na Podkarpaciu

16 października 2025 roku na kanale prorosyjskich haktywistów udostępniono nagranie z ataku na oczyszczalnię ścieków w Chodaczowie. Cyberprzestępcy zmieniali parametry w środowisku na maksymalne lub minimalne wartości. Na filmie widzimy, że wartości poziomu ścieków w reaktorach biologicznych spadły do zera.

Atak miał miejsce 14 października w okolicach godziny 20:30. W przestrzeni publicznej nie pojawiły się informacje wskazujące na to, aby incydent miał realne skutki dla odbiorców usług.

Proste hasło i skutki ataku

Na nagraniu widzimy, że dostęp do panelu sterowania chroniony był czteroznakowym hasłem, złożonym z cyfr. Możemy również dostrzec, że cyberprzestępcy uzyskali nieuprawniony dostęp poprzez aplikację dostawcy sprzętu, umożliwiającą zdalny dostęp do paneli operatorskich (HMI), na co wskazuje logo w lewym górnym rogu.

Haktywiści ustawiali wartości parametrów m.in. reaktorów biologicznych na maksymalne wartości. Poskutkowało to spadkiem poziomu ścieków do zera. Jednocześnie można zauważyć, że manipulowanie parametrami wywołało wiele alarmów.

Te same problemy

Warto przypomnieć, że na przestrzeni ostatnich kilkunastu miesięcy ofiarami cyberprzestępców padały oczyszczalnie ścieków w poniższych miejscowościach:

• Wydminy (04.2024);
• Kuźnica (10.2024);
• Witkowo (05.2025).

Oprócz tego, na celowniku haktywistów wielokrotnie były stacje uzdatniania wody. Wśród zaatakowanych jednostek należy wyróżnić:

• SUW Małdyty, Sierakowo, Tolkmicko (02.2025);
• SUW Szczytno (05.2025);
• SUW Jabłonna Lacka (09.2025).

Niedawno ABW poinformowało nas, że wiele z ww. jednostek było widocznych z poziomu Internetu. Warto przy tym dodać, że CERT Polska w raporcie za 2024 rok opisał znalezienie 299 niedostatecznie zabezpieczonych paneli VNC, które w dużej mierze umożliwiały zarządzanie polską automatyką przemysłową (ICS/OT).

W październiku br. prorosyjscy haktywiści zaatakowali stację regazyfikacji LNG. Wystąpienie incydentu potwierdził NASK w rozmowie z android.com.pl.

Spokojnie, ale rozważnie

Obecnie w przestrzeni medialnej nie pojawiają się doniesienia o tym, aby incydent miał wpływ na mieszkańców Chodaczowa. Warto jednak przypomnieć o tym, że ataki na wodociagi i oczyszczalnie ścieków stwarzały realne zagrożenie dla zdrowia i życia ludzi, o czym informowało NASK oraz CPPC.

Pomimo pojawiania się ww. incydentów, nie jesteśmy bezbronni, o czym nie wolno zapominać. Strach jest jednym z celów atakujących, dlatego powinniśmy być świadomi zagrożeń, lecz nie wzbudzać paniki - awaria wodociągów czy oczyszczalni nie oznacza automatycznie ataku.

W kwietniu wicepremier, minister cyfryzacji Krzysztof Gawkowski poinformował o powstrzymaniu „17 z 18 ataków” na polską infrastrukturę krytyczną w ciągu kilku dni. Jednocześnie stwierdził w sierpniu br., że udało się zapobiec incydentowi, który mógł odciąć „duże miasto” od wody. Wiceminister Dariusz Standerski na łamach Financial Times przekazał, że incydent dotyczył jednego z dziesięciu największych polskich miast.

Skontaktujemy się odpowiednimi organizacjami w ramach omówienia incydentu. Zdarzenie zgłosiliśmy do CERT Polska - polecamy to każdemu, kto spotyka się z niepożądną aktywnością w sieci.