29 grudnia 2025 roku doszło do skoordynowanego cyberataku wymierzonego w kluczowe elementy infrastruktury energetycznej w Polsce. Zdarzenie objęło farmy wiatrowe i fotowoltaiczne, dużą elektrociepłownię zaopatrującą w ciepło blisko pół miliona odbiorców, a także przedsiębiorstwo z sektora produkcyjnego. Szczegóły techniczne oraz przebieg ataku zostały opisane w opublikowanym raporcie CERT Polska, działającego w strukturach NASK – Państwowego Instytutu Badawczego.

Atak na odnawialne źródła energii

Jednym z głównych celów atakujących były farmy odnawialnych źródeł energii. Według ustaleń, działania dotknęły co najmniej 30 obiektów w różnych częściach kraju. Celem nie było przejęcie kontroli w celu uzyskania korzyści finansowych, lecz trwałe uszkodzenie systemów sterowania oraz zakłócenie komunikacji między obiektami a operatorami sieci dystrybucyjnej.

Sprawcy uzyskali dostęp do urządzeń sieciowych pełniących funkcje zapór i koncentratorów VPN. W wielu przypadkach wykorzystano brak wieloskładnikowego uwierzytelniania oraz powtarzalne hasła administracyjne stosowane w różnych instalacjach. Po uzyskaniu uprawnień administracyjnych atakujący przywracali urządzenia do ustawień fabrycznych, zmieniali konfigurację sieci i blokowali dostęp do kluczowych elementów infrastruktury.

Szczególnie dotkliwe było uszkadzanie sterowników RTU odpowiedzialnych za nadzór i telemechanikę stacji elektroenergetycznych. W części urządzeń wgrano zmodyfikowane oprogramowanie układowe, które powodowało zapętlenie procesu restartu i trwałe wyłączenie urządzenia z pracy. W innych przypadkach usuwano pliki systemowe poprzez dostęp zdalny z wykorzystaniem domyślnych danych logowania.

Mimo skali działań nie doszło do wstrzymania produkcji energii ani destabilizacji krajowego systemu elektroenergetycznego. Utrzymano ciągłość dostaw, jednak raport podkreśla, że uzyskany poziom dostępu stwarzał realne ryzyko poważniejszych zakłóceń.

Uderzenie w elektrociepłownię

Tego samego dnia celem ataku stała się również duża elektrociepłownia. W tym przypadku działania poprzedzone były wielomiesięczną infiltracją infrastruktury informatycznej. Sprawcy prowadzili rozpoznanie sieci, kradli dane uwierzytelniające oraz uzyskali dostęp do uprzywilejowanych kont w domenie Active Directory.

Kulminacją było uruchomienie destrukcyjnego oprogramowania typu wiper, którego zadaniem było trwałe uszkadzanie danych na serwerach i stacjach roboczych. Złośliwe oprogramowanie zostało rozdystrybuowane w sieci z wykorzystaniem mechanizmów administracyjnych domeny. Działanie zostało jednak w dużej mierze powstrzymane przez systemy klasy EDR, które wykryły nietypowe operacje na plikach i zablokowały proces niszczenia danych.

Atakujący podjęli również próby bezpośredniego nadpisywania danych na dyskach serwerowych oraz ingerencji w konfigurację macierzy RAID. Te działania wskazują na wyraźny zamiar spowodowania długotrwałej niedostępności systemów.

Przedsiębiorstwo produkcyjne także na celowniku

Równolegle przeprowadzono działania przeciwko firmie z sektora produkcyjnego. Choć ten element operacji miał charakter bardziej oportunistyczny, zastosowano podobne techniki. Sprawcy uzyskali dostęp przez urządzenie brzegowe, wprowadzili zmiany konfiguracyjne w celu utrzymania trwałego dostępu, a następnie wykorzystali skrypty niszczące dane w środowisku domenowym.

W tym przypadku użyto innego wariantu złośliwego oprogramowania, napisanego w PowerShellu. Jego działanie polegało na nadpisywaniu fragmentów plików pseudolosowymi danymi, co prowadziło do ich trwałego uszkodzenia.

Charakter ataku i możliwa atrybucja

Zgodnie z analizą techniczną, atak miał charakter sabotażowy i nie był motywowany finansowo. Wykorzystane oprogramowanie nie zawierało mechanizmów żądania okupu ani komunikacji z serwerami sterującymi. Celem była wyłącznie destrukcja i zakłócenie funkcjonowania systemów.

CERT Polska wskazuje, że działania były długotrwale przygotowywane i wykazują cechy operacji prowadzonych przez podmiot o charakterze państwowym. Zebrane dane techniczne pozwalają łączyć to zdarzenie z aktywnością klastrów znanych pod nazwami Static Tundra, Berserk Bear, Ghost Blizzard oraz Dragonfly, które w przeszłości były wiązane z operacjami wymierzonymi w infrastrukturę krytyczną.

Wnioski dla bezpieczeństwa państwa

Raport podkreśla, że cyberbezpieczeństwo infrastruktury energetycznej jest dziś elementem bezpieczeństwa państwa w wymiarze strategicznym. Zdarzenie pokazało, jak podatności konfiguracyjne, domyślne hasła i brak segmentacji sieci mogą zostać wykorzystane w skoordynowanej operacji o charakterze sabotażowym.

Ministerstwo Cyfryzacji deklaruje dalsze wzmacnianie krajowego systemu cyberbezpieczeństwa, rozwój zdolności ochronnych oraz współpracę z partnerami z NATO i Unii Europejskiej. Równolegle prowadzone są działania wywiadowcze i analityczne mające na celu przeciwdziałanie wrogim operacjom w cyberprzestrzeni.

Opublikowany raport ma służyć podniesieniu świadomości zagrożeń wśród operatorów infrastruktury krytycznej i dostawców technologii przemysłowych. Pokazuje on wyraźnie, że nawet bez fizycznego ataku można doprowadzić do poważnych konsekwencji dla funkcjonowania państwa.

CERT Polska Raport Incydent Sektor Energii 2025

(Źródło: CERT)