Logotyp serwisu CyberDefence24
Reklama

Fala ataków przeciwko Polsce. Skoordynowana kampania Rosji

W samym styczniu ponad 40 różnych aktorów zagrożeń przeprowadziło ataki na ponad 50 polskich organizacji. To skoordynowana kampania pro-rosyjskich grup hakerskich.
W samym styczniu ponad 40 różnych aktorów zagrożeń przeprowadziło ataki na ponad 50 polskich organizacji. To skoordynowana kampania pro-rosyjskich grup hakerskich.
Autor. CyberDefence24/Canva

Początek roku w polskiej cyberprzestrzeni przynosi poważne wyzwania. To, co obserwujemy, wykracza poza pojedyncze incydenty czy anonimowe ataki hakerskie. Mamy do czynienia ze skoordynowaną kampanią, której celem jest zakłócenie funkcjonowania kluczowych systemów państwowych. W publicznej debacie coraz częściej podkreśla się, że działania te mogą mieć bezpośrednie powiązania z rosyjskim wywiadem.

Jednym z najgłośniejszych wydarzeń pod koniec 2025 roku była próba cyberataku na polski system energetyczny, którą eksperci z firmy ESET przypisują grupie Sandworm, powiązanej z rosyjskim wywiadem wojskowym GRU.

Sandworm to jedna z najbardziej destrukcyjnych i agresywnych rosyjskich grup APT, działająca w ramach GRU Unit 74455 (Main Centre for Special Technologies). Grupa jest aktywna co najmniej od 2009 roku i odpowiada za szereg przełomowych oraz szeroko nagłaśnianych operacji cybernetycznych, wymierzonych przede wszystkim w infrastrukturę krytyczną, sektor energetyczny oraz systemy przemysłowe.

Choć polskim specjalistom udało się zapobiec przerwom w dostawach ciepła, incydent został oceniony jako jeden z najpoważniejszych ataków wymierzonych w infrastrukturę krytyczną w ostatnich latach.

„To był największy atak na sektor energetyki w ostatnich latach, który mógł spowodować blackout z końcówką grudnia, w ostatnich dniach 2025 r.” – stwierdził wicepremier i minister cyfryzacji Krzysztof Gawkowski na łamach RMF FM, odnosząc się do nieudanej próby ataku.

Prezes Rady Ministrów Donald Tusk przekazał natomiast, że gdyby atak się powiódł, mógłby zdezorganizować pracę farm wiatrowych i dwóch elektrociepłowni, odcinając od ciepła ponad 500 tys. osób.

Reklama

Rosnące cyberzagrożenia

Atak ten wpisuje się w szerszy trend rosnącej fali cyberzagrożeń, z jakimi Polska zmaga się od kilku lat.

Jak poinformował Krzysztof Gawkowski, w pierwszych trzech kwartałach 2025 roku polskie systemy zarejestrowały rekordową liczbę około 170 000 incydentów, z czego znaczący odsetek - jego zdaniem - nosi cechy aktywności państwowych aktorów zagranicznych, w tym związków z rosyjskimi strukturami.

Należy podkreślić, że rosyjskie ataki nie ograniczają się tylko do cyfrowego sabotażu infrastruktury. Ich charakter obejmuje również działania w obszarze dezinformacji, kompromitacji systemów informacyjnych oraz operacji wywiadowczych ukierunkowanych na pozyskiwanie informacji o planach strategicznych i słabościach polskich sieci. To zjawisko jest elementem szerszego spektrum tzw. działań hybrydowych.

Czytaj też

Analiza najnowszych zagrożeń

Raport opublikowany przez Baysec opisuje eskalację rosyjskich operacji hybrydowych wymierzonych w Polskę.

W styczniu 2026 roku ponad 40 pro-rosyjskich aktorów zagrożeń przeprowadziło ataki na ponad 50 polskich organizacji z sektorów obronnego, energetycznego, rządowego i finansowego. Wśród najaktywniejszych grup wymieniono m.in. NoName057(16) i Z-PENTEST ALLIANCE, które - według Departamentu Sprawiedliwości USA - mają powiązania z GRU (rosyjski wywiad wojskowy).

Kluczowe grupy cyberprzestępcze aktywne w polskiej cyberprzestrzeni w Styczniu 2026.
Kluczowe grupy cyberprzestępcze aktywne w polskiej cyberprzestrzeni w Styczniu 2026.
Autor. Baysec

Na łamach CyberDefence24 wielokrotnie opisywaliśmy przypadki ataków przeprowadzonych przez grupę Z-Pentest Alliance:

Tym razem jednak ataki charakteryzowały się wysokim stopniem koordynacji. Grupy działały równocześnie, celując w różne sektory w tym samym czasie, a ich działania często synchronizowano z ważnymi wydarzeniami politycznymi.

W ramach operacji stosowano różnorodne techniki: od ataków DDoS i ransomware, po próby uzyskania dostępu do systemów sterowania przemysłowego (ICS/SCADA).

Ocena koordynacji ataków wymierzonych w polską cyberprzestrzeń w styczniu 2026.
Ocena koordynacji ataków wymierzonych w polską cyberprzestrzeń w styczniu 2026.
Autor. Baysec

Szczegółowy profil atakujących oraz opis konkretnych działań wymierzonych w polską cyberprzestrzeń zawarto w pełnym raporcie.

Reklama

Współpraca hakerów

Na podstawie dostępnych informacji można zatem stwierdzić, że współpraca prorosyjskich hakerów ma charakter rozproszony, ale strategicznie spójny.

Poszczególne grupy realizują różne role w ramach wspólnych kampanii. Jedne koncentrują się na cyberwywiadzie i długotrwałym rozpoznaniu, inne na atakach zakłócających, takich jak DDoS, defacementy czy masowe kampanie phishingowe.

Choć działania te są prowadzone oddzielnie, często uderzają w te same sektory i cele geograficzne w podobnym czasie, co wzmacnia ich efekt.

Istotnym elementem tej współpracy jest wspólna baza taktyk, technik i procedur (TTP). Wiele grup korzysta z podobnych schematów ataku, narzędzi oraz infrastruktury, co sugeruje wymianę know-how, ponowne wykorzystywanie kodu lub dostęp do tych samych zasobów technicznych.

Czytaj też

Co to oznacza?

Choć zagrożenia są realne i wymagają uwagi, obecnie nie prowadzą do bezpośredniego zagrożenia dla osób fizycznych ani całkowitego unieruchomienia systemów automatyki przemysłowej. Istnieją mechanizmy bezpieczeństwa, które ograniczają przekroczenie krytycznych parametrów, a niektóre incydenty mają również wymiar propagandowy.

Do tej pory Polska skutecznie reagowała na ataki: nie udało się przeprowadzić skutecznego włamaniu do systemów energetycznych, a przerwy spowodowane atakami DDoS zwykle trwają tylko kilka godzin.

Reklama
CyberDefence24.pl - Digital EU Ambassador

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

Cyfrowy Senior. Jak walczy się z oszustami?

Komentarze

    Reklama

    Czytaj także

    Do wykazu prac legislacyjnych i programowych Rady Ministrów przekazano projekty wdrażające Akt o usługach cyfrowych - poinformował resort cyfryzacji. Co się w nich znalazło?
    Jest decyzja Ministerstwa Cyfryzacji ws. DSA. Dwa nowe projekty
    Poczta Polska flota
    Prawie milion zł kary dla Poczty Polskiej. Duże zaniedbanie
    „Cyberbezpieczne Wodociągi”. Kiedy branża otrzyma wsparcie?
    Cyberbezpieczne Wodociągi. Kiedy poznamy wyniki rządowego konkursu? Czas się kurczy
    ukraina wojsko wojna drony
    Ukraińskie drony pod cyfrowym nadzorem
    Polska administracja jest uzależniona od konkretnego dostawcy oprogramowania. Ministerstwo Cyfryzacji zapowiada, że w strategiach znajdują się działania, które mają temu przeciwdziałać.
    Polska administracja uzależniona od konkretnych dostawców. Co na to Ministerstwo Cyfryzacji?
    Grupa APT Mustang Panda przeprowadza precyzyjne ataki wykorzystując personalizowane malware.
    #CyberMagazyn: Co łączy Wenezuelę i chińskich cyberszpiegów?
    Thales AI Security Fabric
    Thales wprowadza AI Security Fabric, zapewniając bezpieczeństwo czasu wykonania dla agentowej AI oraz aplikacji opartych na LLM
    Poznaliśmy przyczynę stojącą za koniecznością powtórnej oceny ofert w postępowaniu na zakup mediów do kampanii Ministerstwa Cyfryzacji. Zmiana ma jednak nie opóźnić terminów.
    Unieważniono wyniki przetargu Ministerstwa Cyfryzacji. Resort tłumaczy