Cyberatak na polską energetykę: wnioski z raportu CERT Polska

Raport przygotowany przez CERT Polska skupia się na analizie wydarzeń z 29 grudnia 2025 r. Choć polskim specjalistom udało się zapobiec przerwom w dostawach ciepła, incydent został oceniony jako jeden z najpoważniejszych ataków wymierzonych w infrastrukturę krytyczną w ostatnich latach.

„To był największy atak na sektor energetyki w ostatnich latach, który mógł spowodować blackout z końcówką grudnia, w ostatnich dniach 2025 r.” – stwierdził  wicepremier i minister cyfryzacji Krzysztof Gawkowski w rozmowie z RMF FM, odnosząc się do nieudanej próby ataku.

Z oficjalnego komunikatu CERT Polska dowiadujemy się o skali cyberataku:

„W dniu 29 grudnia 2025 roku w godzinach porannych i popołudniowych doszło do koordynowanej serii cyberataków wymierzonych w kluczowe systemy polskiej infrastruktury energetycznej. Ataki dotknęły co najmniej 30 farm wiatrowych i fotowoltaicznych, dużą elektrociepłownię zapewniającą ciepło dla prawie pół miliona odbiorców oraz prywatne przedsiębiorstwo z sektora produkcyjnego.

Ataki miały charakter destrukcyjny, ich celem było uszkodzenie i zakłócenie działania sprzętu i oprogramowania. Zdarzenia te miały wpływ zarówno na systemy informatyczne (IT), jak i na urządzenia przemysłowe (OT)”.

Atrybucja ataków

CERT Polska wskazuje, że infrastruktura używana przez atakującego oraz charakter działań pokrywają się z aktywnością znanych grup cyberprzestępczych, takich jak „Berserk Bear”, „Static Tundra”, „Dragonfly” czy „Ghost Blizzard”.

Choć raport nie mówi tego wprost, wiadome jest że grupy te powiązane są z rosyjskim FSB (Federalna Służba Bezpieczeństwa).

Również w opublikowanym przez nas artykule opisywaliśmy szerszą kampanię grup powiązanych z Rosją wymierzoną przeciwko Polsce.

Atak na farmy odnawialnych źródeł energii (OZE)

Atak dotknął główne punkty odbioru energii (GPO) z farm wiatrowych i fotowoltaicznych. W tych obiektach znajdowały się urządzenia sterowania i komunikacji, m.in.: sterowniki RTU (Remote Terminal Unit), lokalne interfejsy HMI, sterowniki zabezpieczeń, routery, modemy i koncentratory VPN/Firewall.

Sposób infiltracji:

• Urządzenia VPN były dostępne z internetu bez uwierzytelniania wieloskładnikowego (MFA), co umożliwiło atakującemu zalogowanie się przy użyciu słabo chronionych kont.
• Powszechne używanie domyślnych kont i haseł w urządzeniach automatyki ułatwiło dalsze poruszanie się atakującego po systemach.
• Po uzyskaniu dostępu do urządzeń, atakujący zmodyfikował firmware sterowników RTU tak, by generowały błędy i resetowały systemy w pętlach, co uniemożliwiło dalsze zdalne sterowanie instalacjami.

Skutkami tego ataku było zerwanie komunikacji między farmami a operatorami systemów dystrybucyjnych (OSD). Pomimo tego, systemy operatorów przesyłowych pozostały stabilne i nie miało to większego wpływu na bieżącą produkcję energii.

Atak na elektrociepłownię

Według CERT, to elektrociepłownia została celem bardziej złożonego sabotażu. Sam atak poprzedziła długotrwała infiltracja i kradzież uprawnień, co umożliwiło atakującemu niemal nieograniczony dostęp do wewnętrznych systemów.

W tym przypadku zainstalowano złośliwe oprogramowanie typu wiper, a dokładnie DynoViper, które miało na celu trwałe usunięcie danych z serwerów i sterowników.

Na szczęście, mechanizmy ochronne, w tym oprogramowanie klasy EDR (Endpoint Detection and Response), zablokowały działanie malware, co zapobiegło przerwom w dostawie ciepła.

Atak na firmę produkcyjną

Tego samego dnia atakujący podjął również działania wymierzone w prywatne przedsiębiorstwo produkcyjne. Choć cel był opportunistyczny i nieskoordynowany z infrastrukturą krytyczną, techniki i narzędzia, w tym wspomniany wiper, były takie same jak w przypadku ataku na elektrociepłownię.

Jak dowiadujemy się z raportu, atakujący uzyskał początkowy dostęp poprzez urządzenie brzegowe Fortinet. Urządzenie było w przeszłości podatne, a jego konfiguracja została wykradziona i opublikowana m.in. w jednym z postów na forum internetowym wykorzystywanym przez środowiska przestępcze.

Po uzyskaniu dostępu do urządzenia, atakujący wprowadził zmiany mające na celu zachowanie dostępu do niego po zmianie haseł użytkowników.

Wysłaliśmy pytania do Fortinet w powyższej sprawie. Po uzyskaniu odpowiedzi niezwłocznie dodamy informację do materiału.

Wnioski

Incydent z grudnia 2025 r. uczy nas przede wszystkim, jak łatwo jest zapomnieć o dobrych praktykach bezpieczeństwa, które nie kosztują dużo, a konsekwencje braku ich zastosowania mogą być poważne. Choć incydent nie doprowadził do poważnych przerw w dostawie energii elektrycznej ani ciepła, powinien być dla nas lekcją, z której wyciągniemy wnioski do wprowadzenia już teraz, nie w przyszłości.

Brak aktualizacji urządzeń, stosowanie domyślnych haseł czy chociażby dwuskładnikowego uwierzytelniania jest mocnym zaniedbaniem.

Rekomendacje

Poniżej zawarliśmy kilka kluczowych wskazówek zwiększających odporność systemów, w oparciu o rekomendacje CERT Polska:

• aktualizacje urządzeń sieciowych,
• bieżące monitorowanie podatności w używanych urządzeniach/usługach,
• wprowadzenie uwierzytelniania wieloskładnikowego (minimum na kontach administracyjnych),
• rejestracja zasobów i personelu w systemie moje.cert.pl,
• wdrożenie zaleceń dotyczących zabezpieczeń OT, np. segmentacji sieci i zabezpieczeń dostępu,
• zgłaszanie incydentów właściwym zespołom CSIRT na poziomie krajowym (CSIRT GOV, CSIRT MON, CSIRT NASK).