Atak prorosyjskiej grupy na polską stację regazyfikacji LNG
Autor. CyberDefence24
Na przestrzeni ostatnich kilkunastu miesięcy wielokrotnie słyszeliśmy o atakach na polskie stacje uzdatniania wody czy oczyszczalnie ścieków. Teraz prorosyjscy haktywiści poinformowali o zaatakowaniu polskiej stacji regazyfikacji LNG (skroplonego gazu ziemnego). Na nagraniu widać manipulowanie parametrami technicznymi obiektu.
Fala ataków prorosyjskich haktywistów dotyczyła przede wszystkich obiektów z sektora wodno-kanalizacyjnego. Wśród jednostek dotkniętych działaniami prorosyjskich grup należy wyróżnić m.in.:
- stację uzdatniania wody Jabłonna Lacka (09.2025);
- SUW Szczytno (05.2025);
- SUW Małdyty, Tolkmicko, Sierakowo (04.2025);
- oczyszczalnia ścieków w Witkowie (04.2025);
- oczyszczalnia ścieków w Kuźnicy (10.2024).
Czytaj też
Atak na stację regazyfikacji LNG
7 października br. prorosyjska grupa haktywistów opublikowała nagrania z manipulowania parametrami polskiej stacji regazyfikacji skroplonego gazu. Na filmie można dostrzeć manipulowanie ciśnieniem m.in.:
- LNG w zbiorniku;
- azotu w butli;
- gazu przed układem redukcji.
Podobnie jak podczas ataków innej grupy cyberprzestępców, parametry zostały ustawione na maksymalne możliwe wartości.
Autor. Telegram haktywistów
Czytaj też
Zmiana temperatury
Haktywiści zmienili też temperaturę wewnętrzną grzałek podgrzewacza. Wartość aktualna temperatury wzrosła z 11,9 do 81,6 st. Celsjusza. Należy dodać, że zmiana parametru była praktycznie błyskawiczna.
Autor. Telegram haktywistów
Wpływ na działanie infrastruktury
Manipulowanie parametrami technicznymi doprowadziło do zapalenia się kontrolek „ostrzeżenie” oraz „alarm krytyczny”. Jednocześnie, przestały świecić się kontrolki „gotowość” oraz „praca”, co wskazuje na wyłączenie urządzenia.
Co ważne, nie zmieniły się wartości w sekcji „detekcja gazu”, dzięki czemu wiemy, że działania haktywistów najprawdopodobniej nie doprowadziły do rozszczelnienia infrastruktury.
Autor. Telegram haktywistów
Porównanie klatek na początku i pod koniec nagrania pozwala ustalić, że haktywiści faktycznie zmienili wcześniej omawiane parametry (ciśnienie LNG w zbiorniku, ciśnienie azotu oraz temperaturę grzałek). Ciśnienie zbiornika LNG spadło z 5,2 do 0,3 bara.
Dodatkowo, widzimy spadek ciśnienia (z 5,2 do 0,2 bara) oraz wzrost temperatury (z 11,11 do 41,14 st. Celsjusza) w stacji redukcyjnej. Zgodnie z pierwszą zasadą termodynamiki (zakładając taką samą objętość), oznacza to dostarczenie ciepła do układu – co jest zgodne z dużym wzrostem temperatury grzałki.
Czytaj też
Niepokojące alarmy
Lista alarmów wskazuje, że atak miał miejsce 6 października w okolicach godz. 19:20. Co jednak powinno skłonić do refleksji, na liście widzimy alarm o otwarciu szafy AKP (rozdzielnicy) ok. godz. 23:00 dnia 3 października br. Kilkadziesiąt sekund później pojawił się alarm o błędzie krytycznym. Pokazuje to aspekt bezpieczeństwa fizycznego, choć obecnie nic nie wskazuje na to, aby było to bezpośrednio powiązane z cyberatakiem.
Autor. Telegram haktywistów
Czytaj też
Co dalej?
Będziemy starać się ustalić, jaki obiekt padł ofiarą cyberprzestępców. Warto podkreślić, że nie musiała to być duża jednostka, tak jak w przypadku ataku na małą elektrownię wodną.
Obecnie nie wiadomo, czy działania haktywistów miały jakikolwiek wpływ na odbiorców usług.
Zachęcamy do zapoznania się z rekomendacjami CERT Polska dla wzmocnienia ochrony systemów OT z 2024 roku.
Incydent zgłosiliśmy do CERT Polska.
Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do formularza w zakładce „Kontakt” (u dołu strony).
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].




Eytu
Aby wyłapać tych hakierów, trzeBA ZROBIĆ PODMIANKĘ. CZyli to co polscy informatycy zostawili w internecie furtki , to stworzyc wirtualne maszyny, Do tego niesstety potrzeba 100 etatow ze sluzb specjalnych. Zakpic 500 komputerów które beda mieliły i udawały zaatakowane obietkty. Czyli wszystkie stacje uzdatniania, regazyfikacji i td. Jak hakerzy pokręcą w wirutalnej maszynie, to zasymulować błędy krytyczne. i niech się cieszą dzieciaki. Na to niestety potrzebna jest kasa bo tu chodzi o nasze bezpieczenstwo
user_1089019
Na pewno to Rosjanie a nie Ukraińcy? Bo jak na razie tylko Ukraińców zatrzymywali fizycznie na gorącym uczynku przy naszych instalacjach krytycznych.
user_1089019
Jak do tej pory, to złapano na gorącym uczynku tylko Ukraińców dokonujących "inspekcji" naszych krytycznych instalacji fizycznie i osobiście, co do tego nie ma najmniejszych wątpliwości. Jakoś nie wzbudziło to szczególnie zainteresowania naszych służb, skoro pozwalano im spokojnie się oddalać i wracać na Ukrainę. Skąd ta wasza pewność, że w sieci byli to akurat Rosjanie? Logika podpowiada, że najbardziej na wciągnięciu Polski w konflikt z Rosją zależy teraz Ukrainie.
Eytu
Co to oznacza? Ze informatycy pozostawili furtke, czyli program sterujacy dziala nie po kablu,lecz na WI Fi lub innym protokole. Albo jest to atak internetowy, albo wbili sie na lacza dzieki ukrainskim lub bialoruskim szoiegom,ktorzy zaparkowali samochodami pod firmami I wzmacniaczami sygnalu zgrali komputery wchodza w sklad paneli sterujacych. Weszli tylem omijajac funkcje haszujaca I pobawili sie parametrami. Cala Polska musi zmienic protokole orzesylu danyxh I podlaczenia pod internet. Niestety praca zdalna wiaze sie z ryzykiem ataku. Dobrze ze Nie mamy jeszcze elektrowni atomowej, bo strach pomyslec jakby stopili pretty chlodzace
user_1084331
Tylko nie mowcie, ze tego typu jednostki są podpięte do internetu?