Rosja celuje w polską infrastrukturę krytyczną. Co przyniesie nam 2026 rok?

Artykuł sponsorowany

Niedawny atak na polską ciepłownię unaocznił poważne zagrożenie dotyczące incydentów w polskim sektorze energetycznym. Analiza ESET ze średnim prawdopodobieństwem przypisuje kampanię Sandworm – grupie APT bezpośrednio związanej z rosyjskim GRU.

Warto podkreślić, że Sandworm odpowiada za udany atak na ukraińską energetykę w 2015 roku, który spowodował odcięcie ok. 230 tys. osób od prądu na kilka godzin. Według badaczy ESET,  grupa charakteryzuje się powszechnym wykorzystaniem tzw. „wiperów” – złośliwego oprogramowania mającego na celu usuwanie informacji z urządzeń.

Stosowanie wiperów nie jest nową techniką, ponieważ wykorzystywano je już w 2014 roku. ESET podkreśla, że od momentu rosyjskiej inwazji na Ukrainę w lutym 2022 roku, widzimy znaczne nasilenie tego typu kampanii.

„Cyberwojna w Ukrainie pokazała jak pilna jest potrzeba skoncentrowania wysiłków na ochronie infrastruktury krytycznej. Przeprowadzane jednocześnie, liczne przypadki ataków na łańcuchy dostaw (SolarWinds, MoveIT, CDK Global) i ataki na firmy (Microsoft) przeprowadzane przez zorganizowane jednostki realizujące złożone ataki pokazały, że cyberprzestępcy wiedzą, gdzie znajdują się pieniądze i dane, bez względu na wielkość przedsiębiorstwa” – podkreśla Michal Jankech, Vice President of Enterprise & SMB/MSP w ESET.

Atak na polską energetykę

Jak podaje ESET Research, 29 grudnia doszło do próby cyberataku w oparciu o „DynoWiper” – oprogramowanie bardzo podobne do wipera „ZOV”, wykorzystywanego przeciw ukraińskiej infrastrukturze.

Wiper nadpisuje pliki za pomocą 16-bajtowego bufora zawierającego losowe dane, generowane jednorazowo przy uruchomieniu oprogramowania. (...) DynoWiper czyści dane na wszystkich dyskach wymiennych i stałych, a na koniec wymusza restart systemu, co finalizuje proces destrukcji środowiska.
ESET, analiza DynoWiper

Skuteczna obrona przed APT

W raporcie CERT Polska dot. grudniowego incydentu podkreślono, że „używane w instytucji oprogramowanie klasy EDR rozpoznało szkodliwe działanie i zablokowało atak”. Należy dodać, że chodzi tu o ESET PROTECT, które zablokowało DynoWipera przed aktywacją destrukcyjną. Pomimo długotrwałej infiltracji, dostępu uprzywilejowanego atakujących i modyfikacji wektora ataków,  wszystkie trzy próby instalacji zakończyły się niepowodzeniem.

W przeciwieństwie do tradycyjnych antywirusów, EDR monitoruje w czasie rzeczywistym anomalie, takie jak przeszukiwanie dysków czy nadpisywanie plików, co jest niezbędne dla skutecznej ochrony w przypadku tego typu zagrożeń.

”Zastosowane rozwiązanie EDR/XDR wykryło zagrożenie behawioralnie (a nie na podstawie sygnatur) oraz zablokowało próbę masowego nadpisywania plików i czyszczenia dysków. Należy podkreślić, że oprogramowanie zadziałało mimo braku wcześniejszej wiedzy o tym malware. To dokładnie ten scenariusz, w którym tradycyjny antywirus nie wystarcza, a EDR robi różnicę między incydentem a katastrofą biznesową” - wyjaśnia Dawid ZIęcina, dyrektor działu technicznego w DAGMA Bezpieczeństwo IT

Krajobraz zagrożeń na 2026 rok

Warto odnotować, że analitycy ESET wskazują, że w 2026 roku prawdopodobna jest dalsza dywersyfikacja celów Federacji Rosyjskiej w cyberprzestrzeni. Choć wiemy o znacznej koncentracji sił i środków w Ukrainie, ESET przewiduje rozszerzenie działań Rosji w Niemczech, Francji i Polsce. Warto również podkreślić prawdopodobny wzrost znaczenia grup powiązanych z Białorusią, szczególnie w ramach kooperacji państw ZBiR (Związku Białorusi i Rosji).

„Spodziewamy się wzrostu rosyjskiej aktywności wymierzonej w kontrahentów w obszarze obrony, łańcuchy dostaw oraz infrastrukturę krytyczną, w ramach działań mających na celu monitorowanie i osłabianie modernizacji wojskowej Zachodu. Równolegle grupy APT powiązane z Białorusią stają się coraz bardziej aktywne i agresywne, szczególnie w Ukrainie i Polsce. Choć dotychczas były uważane za zagrożenie drugiego poziomu, w niedalekiej przyszłości mogą stać się znaczącą siłą. Biorąc pod uwagę szerszy kontekst strategiczny, możliwe jest, że będziemy świadkami stopniowej integracji niektórych zdolności cybernetycznych Rosji i Białorusi w ramach wschodniego sojuszu wywiadowczego „2 Eyes” – powiedział Jean-Ian Boutin, Dyrektor ESET Threat Research.

Artykuł sponsorowany