Poważne kontrowersje wokół ataku na polski wodociąg. Oto nasze ustalenia

Ataki na polską automatykę przemysłową nie są niczym nowym. W zeszłym roku ofiarą cyberprzestępców padła m.in. Oczyszczalnia ścieków w Kuźnicy, zaś w lutym br. manipulowano parametrami Stacji Uzdatniania Wody w Małdytach, Sierakowie i Tolkmicku.

Tym razem ataki dotyczą m.in. SUW Szczytno oraz elektrowni wodnej. Zdarzenia szczegółowo opisaliśmy na naszym portalu.

Pytania do NASK

W celu ustalenia realnych skutków incydentu oraz jednoznacznego wskazania zaatakowanego podmiotu skierowaliśmy pytania do NASK.

„Informację dotyczącą widoczności narzędzi SUW Szczytno z poziomu Internetu zespół CSIRT NASK odkrył w ramach działań własnych. W ich trakcie monitorujemy polską przestrzeń adresową pod kątem występowania tego typu paneli i podejmujemy działania mające na celu informowanie ich właścicieli o zagrożeniu oraz o dobrych praktykach związanych z ich zabezpieczaniem” – przekazał NASK.

Co ważne, dowiedzieliśmy się, że podmiot, który padł ofiarą ataku został w połowie lutego br. poinformowany o widoczności swoich narzędzi z poziomu sieci. Oprócz tego, przekazano nam, że sprawę przejęło ABW – podmiot odpowiedzialny za CSIRT GOV.

Ping-pong

ABW odpowiedziało z kolei, że:

Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego nie otrzymał zgłoszenia dotyczącego cyberataku na Stację Uzdatniania Wody w Szczytnie. Powyższe pozostaje we właściwości Zespołu CSIRT NASK, do którego należy kierować ewentualne pytania.
ABW

W związku z powyższym postanowiliśmy skierować ponownie pytania do NASK. Niedługo później nadesłano wiadomość. Wskazano w niej, że:

• 28 lutego 2025 zespół CSIRT NASK przekazał zespołowi CSIRT GOV informacje o publicznie dostępnej instalacji SUW Szczytno, w ramach wspólnych działań mających na celu zabezpieczenie publicznie dostępnych paneli obsługi przemysłowych systemów sterowania;
• 15 maja 2025, po ogłoszeniu przez grupę (nazwa grupy została przez nas usunięta – przyp. red.) uzyskania dostępu do tego panelu, zespół CSIRT NASK ponowił informację o tej konkretnej instancji infrastruktury.

Kluczowe jest również kolejne zdanie: „CSIRT NASK może potwierdzić, że wspomniany panel nie jest powiązany z infrastrukturą miasta Szczytno w województwie warmińsko-mazurskim”.

Faktem jest, że instalacji o nazwie „SUW Szczytno” jest więcej niż jedna, dlatego postanowiliśmy rozpocząć ustalanie miejsca incydentu.

„Obecnie obowiązujące przepisy ustawy KSC w wielu przypadkach wymagają współpracy z innymi instytucjami odpowiedzialnymi za  Krajowy System Cyberbezpieczeństwa w celu ustalenia danych podmiotu będącego właścicielem dostępnych w internecie instancji” – skwitował Zespół PR i Komunikacji Wewnętrznej NASK. Wyślemy kolejne pytania do ABW w celu ustalenia informacji.

Stanowiska UM Szczytno i PWiK Aqua w Szczytnie

Postanowiliśmy skierować zapytania do Urzędu Miasta Szczytno oraz wodociągów. We wspólnej odpowiedzi podkreślono, że podmioty nie odnotowały cyberataku. Co jednak bardzo interesujące, PWiK Aqua otrzymała informację o widoczności SUW Szczytno z poziomu sieci. Jednocześnie „nie stwierdzono luk w zabezpieczeniu”.

Poniżej znajdują się oryginalne stanowiska. Nie dały one jednak odpowiedzi na kluczowe dla nas pytania dotyczące sprawy, dlatego podjęliśmy poszukiwania informacji o Stacji Uzdatniania Wody Szczytno z pominięciem oficjalnych kanałów informacji, lecz z użyciem ogólnodostępnych źródeł.

Poszukiwania stacji uzdatniania wody

Naturalnym krokiem było rozpoczęcie wyszukiwania wszystkich podmiotów, które mogą nazywać się „SUW Szczytno”. Według Wikipedii), istnieje jedno miasto oraz sześć wsi o nazwie „Szczytno”. Udało nam się zlokalizować trzy podmioty o nazwie „SUW Szczytno”.

Kluczowy okazał się powrót do pierwotnego postu cyberprzestępców. Choć wskazanie „miasta Szczytno” jako cel ataku nie musi być prawdziwe, to ważne jest wyróżnienie „Dynamik Filtr” jako firmy, która jest odpowiedzialna za produkcję zaatakowanych urządzeń.

Strona producenta

Odwiedziliśmy stronę producenta sprzętu, który został wskazany przez cyberprzestępców. Dynamik Filtr chwali się swoim wdrożeniem Stacji Uzdatniania Wody Szczytno. Witryna nie zawiera wielu informacji, lecz wypisano wprost dwie ważne kwestie:

• Instalacja składa się z 5 filtrów DF 500-00C oraz z jednego filtra DF 150-00C;
• Instalacja uzdatniająca wodę podziemną o przepustowości 250 m3/h.

Wszystkie omawiane strony internetowe zostały przez nas zarchiwizowane na portalu archive.is.

SUW Szczytno i PWiK Aqua

Dalej postanowiliśmy sprawdzić przepustowości Stacji Uzdatniania Wody Szczytno – nie tylko tych w mieście Szczytno. SUW Szczytno w Gminie Załuski cechuje się przepustowością 75 m3/h. SUW Szczytno w Gminie Kampinos cechuje się wydajnością w zakresie 96 – 100 m3/h. Co ciekawe, tamtejszy BIP wymaga logowania do zapoznania się z treścią dokumentów pokazanych poniżej.

Zweryfikowaliśmy, jaka jest przepustowość SUW Szczytno w Szczytnie, miasta w woj. warmińsko-mazurskim. Na stronie PWiK Aqua w Szczytnie możemy znaleźć następujące informacje dotyczące stacji uzdatniania wody:

• SUW został oddany do użytku w 2006 roku;
• Wydajność stacji uzdatniania wynosi 6.000 m3 na dobę;
• Wykorzystywane jest ok. 3300 m3 (na dobę);
• Woda czerpana jest z 7 studni ujęcia Lemany.

Kropla drąży skałę, a dziennikarz Internet

Wracając do SUW Szczytno ze strony Dynamik Filtr możemy zauważyć, że tamtejsza instalacja cechuje się przepustowością rzędu 250 m3 na godzinę. Na stronie PWiK Aqua możemy zobaczyć, że wydajność SUW wynosi 6000 m3 dziennie, co podzielone przez liczbę godzin w dobie daje… 250 m3 – wartość identyczną do tej, którą wskazał Dynamik Filtr.

Interesująca jest też wartość „ok. 3300 m3”. Postanowiliśmy powrócić do pierwotnego nagrania, które pojawiło się na kanale cyberprzestępców. Widzimy w nim pięć wartości „677 m3”.

Po dodaniu wszystkich wartości do siebie (lub pomnożeniu 677 m3 przez pięć) wychodzi nam wynik 3385m3. Przy zaokrągleniu do pełnych setek: 3300m3 – identycznie do wartości „ok. 3300m3”, wskazanej jako wykorzystywana przepustowość stacji uzdatniania wody. Sama wartość 3385m3 jest większa od 3300 m3 o niecałe 2,6 procenta.

Udało nam się także odnaleźć artykuł Kurka Mazurskiego z 2006 roku, pt. „Stacja prawie gotowa”. Stwierdzono w nim, że stacja ma ruszyć „we wrześniu”. Artykuł opisuje stację w Lemanach – na stronie PWiK możemy przeczytać, że „woda czerpana jest z 7 studni ujęcia Lemany”.

To nie jest jednak najważniejsza informacja. „Woda, zanim trafi do wodociągów miejskich, przechodzi przez system sześciu filtrów, w których osadza się żelazo i mangan” – stwierdzono w materiale sprzed niecałych dziewiętnastu lat. Jest to identyczna liczba do tej, która jest na stronie SUW Szczytno Dynamik Filtr: „instalacja składa się z 5 filtrów DF 500-00C oraz z jednego filtra DF 150-00C oczyszczającego popłuczyny z układu 5 filtrów DF 500-00C”.

SUW Szczytno znajduje się na terenie Leman, tuż za granicą ze Szczytnem. To może powodować, że zdanie „CSIRT NASK może potwierdzić, że wspomniany panel nie jest powiązany z infrastrukturą miasta Szczytno w województwie warmińsko-mazurskim” jest prawdziwe. Jednocześnie za wodociągi w Szczytnie odpowiada spółka z o o. z 100% kapitałem Gminy Miejskiej Szczytno.

Konieczne wyjaśnienie sprawy

Nie możemy jednoznacznie stwierdzić, że ktokolwiek wprowadza kogokolwiek w błąd. Jednak ocenę wydarzeń pozostawiamy Wam - czytelnikom oraz dziennikarzom.

Burmistrz Szczytna Stefan Ochman oraz Prezes Zarządu PWiK Aqua Arkadiusz Brzozowski, radny powiatu, startowali z list tego samego ugrupowania w wyborach samorządowych z 2024 roku. Obaj uzyskali mandaty.

Ciekawy jest fakt, że PWiK Aqua w Szczytnie otrzymało informację od CSIRT NASK o widoczności narzędzi z poziomu sieci oraz jednocześnie nie odnotowało ataku.

7 maja na ulicy Ogrodowej w Szczytnie miała miejsce awaria sieci wodociągowej, skutkująca przerwą w dostawie wody.

Niespójności wokół tej sprawy wymagają pełnego i wyczerpującego wyjaśnienia przez odpowiednie organy, a także ich publicznego opisania.

Jeśli miał miejsce atak na SUW Szczytno w mieście Szczytno, praktycznie jedyną możliwością, aby stanowiska miasta i spółki wodociągowej pozostały prawdziwe jest to, że nie odnotowano incydentu – co jest chyba najgorszym scenariuszem.

Potrzebujemy zmian w bezpieczeństwie polskiej automatyki przemysłowej (ICS/OT) oraz komunikowaniu incydentów.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].