Cyberatak Iranu na stacje benzynowe w USA? Zmieniano odczyty zbiorników

Jak podaje CNN, amerykańscy urzędnicy podejrzewają Iran o manipulowanie odczytami systemów automatycznego pomiaru paliwa w zbiornikach (ATG).

Według źródeł amerykańskiego medium, ataki miały być proste do przeprowadzenia – urządzenia miały być niezabezpieczone hasłem oraz widoczne z poziomu internetu.

CNN podkreśla, że działania najprawdopodobniej nie miały fizycznych skutków, lecz – teoretycznie – taka zmiana odczytów poziomu zbiorników paliwa na stacjach mogłaby doprowadzić do niewykrycia wycieku paliwa.

Haktywiści, nie specjaliści

W cytowanym opracowaniu wskazano, że cyberprzestępcy powiązani z Iranem szukają tzw. „nisko wiszących owoców” (ang. low-hanging fruits), czyli obiektów łatwych do zaatakowania. Jako przykład podano cyberatak na jeden z wodociągów w Pensylwanii, który w 2023 r. wymusił przejście jednej z pomp wody w ręczny tryb pracy.

„To frustrujące. Ktoś musi wstawać o 3 nad ranem i włączać lub wyłączać pompy. To będzie duże utrudnienie, dopóki automatyczny system nie zacznie znowu działać” – przekazał CNN Robert J. Bible, zarządca obiektu.

Nie pierwszy taki atak

W grudniu 2025 roku opisywaliśmy działania prorosyjskiej grupy haktywistów, która również zaatakowała amerykańskie systemy automatyki przemysłowej (ICS/OT). Udało się im m.in.:

• wymusić przelanie się wody w zbiorniku (Muleshoe, Teksas, 2024);
• doprowadzić do zepsucia 900 kg mięsa i wycieku amoniaku;
• naruszyć bezpieczeństwo instalacji naftowej w Oklahomie (bez wskazania konkretnych skutków);
• wyczerpać zapasy chemikaliów do odwiertów naftowych (poprzez zwiększenie dawek).

Podobne incydenty miały również miejsce w Europie. Przykładem może być Dania, gdzie zmiana ciśnienia doprowadziła do pęknięcia przynajmniej trzech rur, co odcięło ok. 50 gospodarstw domowych od wody przez siedem godzin, a 450 domów przez jedną godzinę.

Według Euronews, atak był możliwy do przeprowadzenia wskutek przejścia na „tańsze i gorsze zabezpieczenia”.

W 2024 roku doszło do niekontrolowanego zrzutu wody z norweskiej zapory wodnej, który był spowodowany działaniem prorosyjskiej grupy.

„Zapora zaczęła w niekontrolowany sposób spuszczać wodę w tempie 500 litrów na sekundę. Usterkę udało się usunąć po czterech godzinach” – stwierdzono na łamach Energetyki24 (via PAP).

Cyberataki na Polskę

W październiku ubiegłego roku informowaliśmy o cyberataku na polską stację regazyfikacji LNG. Wystąpienie incydentu zostało później potwierdzone przez NASK na łamach portalu android.com.pl. Pomimo zmian temperatury i ciśnienia w układzie, dotychczas nie stwierdzono poważnych skutków dla ludzi czy systemów.

Na przestrzeni ostatnich dwóch lat byliśmy świadkami licznych cyberataków na polskie obiekty z sektora wodno-kanalizacyjnego. Incydenty również nie wiązały się z poważnymi skutkami dla środowiska naturalnego. Wśród zaatakowanych jednostek należy wymienić:

• stacje uzdatniania wody: Małdyty, Sierakowo, Tolkmicko, Szczytno, Jabłonna Lacka;
• oczyszczalnie ścieków: Kuźnica, Witkowo, Chodaczów;
• małą elektrownię wodną.

W raporcie CERT Polska za 2025 rok czytamy, że haktywistom udało się zmieniać ustawienia pomp w stacji uzdatniania wody, co „doprowadziło do wyczerpania zasobów w zbiorniku, a w konsekwencji spowodowało przerwę w dostawie wody”. Incydent doprowadził do sześciogodzinnej przerwy w dostawie wody dla 2,5 tys. mieszkańców gminy.

Omawiane ataki znalazły się również w raporcie Agencji Bezpieczeństwa Wewnętrznego za 2024 i 2025 rok.

„Aktywność wymierzona w infrastrukturę komunalną była szczególnie intensywnie prowadzona przez grupy haktywistyczne. Podejmując próby ingerencji w działanie tego typu obiektów, wykorzystywano rażącą podatność w obszarze niewłaściwej polityki haseł oraz niezabezpieczone panele zarządzania urządzeniami, dostępne bezpośrednio w publicznej sieci internet” – czytamy w opracowaniu.

W 2025 r. odnotowano m.in. incydenty naruszenia bezpieczeństwa stacji uzdatniania wody w miejscowościach: Jabłonna Lacka, Szczytno, Małdyty, Tolkmicko, Sierakowo. Atakujący, uzyskując w niektórych przypadkach dostęp do przemysłowych systemów sterowania, mieli możliwość zmiany parametrów technicznych urządzeń, co stwarzało bezpośrednie ryzyko dla ciągłości ich funkcjonowania, a co za tym idzie – dla procesów zaopatrzenia ludności.
ABW

Jak się chronić?

Rekomendacja dla wszystkich obiektów jest bardzo prosta: konieczne jest odłączenie kluczowych procesów od bezpośredniego dostępu do Internetu, szczególnie jeśli jedynym zabezpieczeniem jest prosty panel logowania.

W tym miejscu pragnę oddać głos instytucjom odpowiedzialnym za nasze bezpieczeństwo w cyberprzestrzeni:

Z naszych obserwacji wynika, że potencjalnie skompromitowane podmioty posiadały zasoby IT dostępne z publicznej sieci Internet, w tym panele HMI (ang. human machine interface – przyp. red.) sterujące procesami technologicznymi.
Agencja Bezpieczeństwa Wewnętrznego w odpowiedzi na nasze pytania prasowe

Kategorycznie odradza się eksponowanie bezpośrednio do internetu systemu umożliwiającego sterowanie procesem przemysłowym, nawet jeśli wydaje się, że jest on skonfigurowany w trybie tylko do odczytu.  (...) NIE NALEŻY umożliwiać bezpośredniego zdalnego połączenia z wykorzystaniem protokołów jak VNC czy RDP oraz oprogramowania zdalnego wsparcia technicznego. NIE NALEŻY umożliwiać bezpośredniego zdalnego dostępu do panelu WWW systemów sterowania i wizualizacji, nawet jeśli stosowane jest silne hasło
CERT Polska, „Rekomendacje dla wzmocnienia ochrony systemów OT", 2024