Polska elektrownia ponownie zaatakowana przez Rosję

Ataki na polskie urządzenia ICS/OT niestety nie są niczym nowym. Na przestrzeni ostatnich kilkunastu miesięcy informowaliśmy m.in. o manipulowaniu parametrami m.in. poniższych podmiotów:

• stacji uzdatniania wody Szczytno (05.2025);
• SUW Małdyty, Tolkmicko, Sierakowo (04.2025);
• oczyszczalni ścieków w Witkowie (04.2025);
• oczyszczalni ścieków w Kuźnicy (10.2024);
• basenów i fontanny (08.2025);
• małej elektrowni wodnej (05.2025).

W sierpniu br. wicepremier Krzysztof Gawkowski poinformował o udaremnieniu cyberataku na wodociągi w dużym polskim mieście, który mógł odciąć jego mieszkańców od dostępu do wody. „Udało się w ostatniej chwili doprowadzić do tego, że kiedy zaczynał się atak, nasze służby się o tym dowiedziały” – stwierdził na łamach Onet Rano. Minister cyfryzacji w lutym br. wydał komunikat dot. wzmożonej liczby ataków na przemysłowe systemy sterowania.

W maju 2024 r. CERT Polska opublikował Rekomendacje dla wzmocnienia ochrony systemów OT. „W związku z poważnym zagrożeniem wzywamy podmioty posiadające systemy przemysłowe do podjęcia natychmiastowych działań i wprowadzenia opisanych poniżej rekomendacji” – stwierdzono w opracowaniu.

Atak na elektrownię wodną – ponownie

Na początku lipca 2025 r. informowaliśmy o zmianie parametrów polskiej elektrowni wodnej. Atakującym nie udało się uzyskać pełnej kontroli nad infrastrukturą. Elektrownia wodna wówczas wyglądała na wyłączoną.

12 sierpnia prorosyjscy haktywiści opublikowali kolejne nagranie, pochodzące z tej samej elektrowni. Możemy zobaczyć, że panel sterowania zawiera identyczne ustawienia.

Pomiędzy nagraniami elektrownia pracowała przez 889 godzin (nieco ponad 37 dni). Wartość temperatury wody pozostała niezmieniona. Możemy jednak zobaczyć, że generator i wirnik obracają się (1020 oraz 255 obrotów na minutę) oraz generowany jest prąd (16.9 A). Generowana moc ma wartość ujemną (-11.06 kW), zaś przepływ wynosił 0,8 m^3/s.

Oznacza to, że tym razem haktywistom udało się zaatakować pracującą elektrownię. Pomiędzy nagraniami wartość pola „energia” wzrosła o 9378,6 kW.

Duże zmiany w małej elektrowni

Haktywiści zrobili to samo co podczas większości ataków – ustawili wartości parametrów na minimalne lub maksymalne z możliwego zakresu. Poskutkowało to ustaniem obrotów generatora oraz wirnika, a także zmianą odczytu poziomu wody na 99,9 metra (co oczywiście jest niemożliwe).

Nieco zabawne jest to, że haktywiści próbowali zmienić poziom wody podczas czerwcowego ataku, lecz nie nacisnęli „KALIBRUJ”, co nie zapisało zmian.

Atak miał miejsce najprawdopodobniej 10 sierpnia w godzinach nocnych (ok. 21:00 – 22:00). Możemy zobaczyć, że RPM turbiny (obroty na minutę) bardzo szybko osiągają skrajne wartości (zielona linia). Błyskawicznie rośnie również poziom wody (żółta linia). W niektórych momentach moc (czerwona linia) jest równa zeru.

Wygląda na to, że atak cyberprzestępców miał realny wpływ na pracę małej elektrowni wodnej.

Ustalmy elektrownię

Kluczowe jest ustalenie, jakiego obiektu najprawdopodobniej dotyczy incydent. Z nagrań możemy dowiedzieć się m.in. o tym, że:

• w układzie występuje kierownica i wirnik (napisy na żółto);
• spad wynosi nieco mniej niż 7 metrów;
• moc zainstalowana jest równa 75 kW.

Cyberprzestępcy twierdzili, że obiekt znajduje się w woj. pomorskim, blisko Gdańska. Pamiętajmy jednak o tym, że może to być zwykły blef.

Dopasowanie elektrowni

Poniższy fragment artykułu odnosi się do informacji dotychczas niezweryfikowanych w zewnętrznych źródłach

Uwzględniając moc elektrowni, spad oraz rodzaj turbiny, celem ataku cyberprzestępców mogła być Mała Elektrownia Wodna (MEW) w Tczewie. Wiele na to wskazuje, ponieważ:

• moc z nagrania (75kW) jest identyczna do tej, którą deklaruje strona z realizacjami MEW;
• typ turbiny według strony z realizacjami MEW to „Kaplan w spirali" – na nagraniu widzimy parametry wirnika i kierownicy;
• spad na nagraniu jest nieco mniejszy od tego, który opisano w specyfikacji.

„Wirnik turbiny Kaplana ma nastawialne łopatki, które obracają się w łożyskach osadzonych w piaście wirnika. Tak więc typowa turbina Kaplana (rys. 8.15) ma dwa regulowane zespoły - wirnik i kierownicę” – czytamy w opracowaniu „Małe elektrownie wodne” pod redakcją Mariana Hoffmanna.

Przypominamy, że pomimo wielu zbieżności, obecnie nie można stuprocentowo wykazać, że ofiarą ataku padła mała elektrownia wodna w Tczewie.

Quo vadis?

Skierujemy pytania do odpowiednich podmiotów w celu ustalenia organizacji, która padła ofiarą cyberprzestępców.

Nagranie z sierpnia br. pokazywało manipulowanie parametrami działającej elektrowni, co jest dość przerażające pod kątem naszego bezpieczeństwa energetycznego.

Miejmy nadzieję, że liczba udanych ataków prorosyjskich haktywistów zostanie znacznie zmniejszona w przyszłości. To był najprawdopodobniej kolejny atak, który miał wpływ na odbiorców usług, czyli mieszkańców Polski.

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do formularza kontaktowego (na dole strony).

AKTUALIZACJA (18.08.2025 r., 15:00)

Przedstawiciel Małe Elektrownie Wodne S.C. przekazał nam, że firma sprzedawała sprzęt do MEW Tczew, lecz urządzenia z omawianego nagrania nie były przez nich dostarczone. Dodał także, że „żadne z dostarczanych przez nas urządzeń nie padło ofiarą ataku”. Wspomniał, że sprzęt dostarczany przez firmę nie jest widoczny z poziomu sieci.

Oczekujemy na stanowisko zarządcy infrastruktury.