Jak Rosjanie zhackowali polski sektor energetyczny miesiąc temu?

ZIZOO.PL

W końcówce 2025 doszło do bezprecedensowego i skoordynowanego ataku na kilkadziesiąt obiektów w strukturach polskiego sektora energetycznego. Atakującym udało się włamać do co najmniej 30 obiektów typu OZE (farmy wiatrowe i fotowoltaiczne) ale także elektrociepłowni obsługującej 500 tysięcy Polaków i do jednej z firm produkcyjnych. Wszystkie z tych obiektów próbowano unieruchomić i w wielu przypadkach atakujący osiągnęli swój cel. Kto stoi za tym atakiem (i dlaczego tym razem to naprawdę są Rosjanie)? Jak działali włamywacze? Dlaczego nie doszło do tragedii? Tego dowiecie się z niniejszego artykułu.

Dlaczego piszecie o tym dopiero teraz?

O atakach na polską infrastrukturę krytyczną wiadomo od miesiąca. Na przełomie roku informowali o nich politycy. Podsyłaliście nam ich wypowiedzi i oczekiwaliście komentarza. Nie komentowaliśmy tych wypowiedzi świadomie — oświadczenia polityków na temat (cyber)ataków prawie zawsze nie są rzetelne, służą celom politycznym i zazwyczaj wcale nie rozjaśniają sytuacji, a jedynie wprowadzają więcej zamieszania. Dlatego czekaliśmy na techniczne raporty i oświadczenia zaatakowanych podmiotów lub odpowiednich CSIRT-ów. W międzyczasie pojawiły się raporty dotyczące tych incydentów od firm ESET i Dragos, ale z całym szacunkiem do koleżanek i kolegów z obu tych podmiotów, widać było, że te raporty odbiegają od standardów jakościowych obu firm i są bardziej PR-owe, zamiast merytorycznie prezentować całość incydentu (jak się zresztą zaraz okaże, niektóre z wyciąganych w tych raportach wniosków okazały się błędne — jak widać nie zawsze sama telemetria vendora wystarczy, aby zrozumiał on całość ataku).

Dziś sytuację uratował raport CERT Polska, który całościowo i bardzo rzetelnie opisał jak wyglądały ataki na polski sektor energetyczny na przełomie roku. Byłoby cudownie, gdyby każdy podmiot opisujący jakiś incydent robił to tak, jak CERT Polska.

Najważniejsze wnioski z tego ataku

Oto najważniejsze fakty, ciekawostki i wnioski:

• Wspólnym punktem wszystkich ataków były urządzenia Fortigate, w których w minionych miesiącach co chwilę ujawniano krytyczne błędy bezpieczeństwa. Jeśli dostępu do Waszej infrastruktury broni urządzenie Fortigate (zwłaszcza z aktywnym SSL-VPN), lepiej załóżcie najczarniejszy scenariusz: ktoś (niekoniecznie Rosjanie) już dawno go Wam zhackował i buszuje sobie teraz po Waszej sieci. Zalecamy jak najszybsze sprawdzenie infrastruktury pod obecności atakujących (jeśli potrzebujecie w tym pomocy, zapraszamy do kontaktu).
• O ile obecność na brzegu sieci Fortigate’a była dla atakujących “rozłożeniem nóg”, to w infrastrukturę danego obiektu wchodzili jak ciepły nóż w masełko dlatego, że wszędzie łamano podstawowe zasady bezpieczeństwa:
  1. korzystano z domyślnych kont i haseł producenta,
  2. na kontach nie było aktywne 2FA (co ograniczyłoby atak)
  3. firma odpowiedzialna za wdrożenie/konfigurację urządzeń w wielu obiektach w każdym z tych obiektów wykorzystywała te same konta serwisowe z tymi samymi credentialami,
  4. urządzenia nie miały zaktualizowanego firmware (posiadały znane podatności)
  5. urządzenia nie miały aktywnych funkcji bezpieczeństwa, które uniemożliwiłyby lub utrudniłyby atak (np. secure update).
• Zhackowano ~30 obiektów należących do różnych właścicieli. To niewielki procent tego typu infrastruktury w Polsce. Ilościowo, ten atak nie jest zatem “poważny” (nie “zachwiał” siecią energetyczną — nie miał wpływu na operatorów sieci dystrybucyjnej (OSD)), ale to że był skoordynowany i to w jaki sposób został przeprowadzony jest już poważnym sygnałem i eskalacją w dotychczasowych atakach. Nie są to jednak działania najpoważniejsze — atakujący mogli zadziałać boleśniej, ale tego nie zrobili.
• Sytuację bardzo uratowało stosowanie EDR-a, który wykrył atak, gdy antywirus nie zareagował.
• Atakujący, choć ich celem było unieruchomienie instalacji energetycznych, kradli też dane. Pozyskiwane login i hasła sprawdzali pod kątem dostępów do zasobów chmurowych, szukając (i wykradając) z nich wszytko co było związane z sieciami SCADA i co mogłoby ułatwić kolejne ataki.
• Atakujący są na czasie! Do jednego z ataków wykorzystano wipera, którego kod powstał przy użyciu LLM-a :-)

Tak, to Rosjanie

W raporcie CERT znalazła się sekcja poświęcona atrybucji. Wynika z niej, że ślady zostawione przez atakujących i wykorzystywana przez nich infrastruktura pokrywa się z pokrywa się z infrastrukturą wykorzystywaną przez klaster aktywności o nazwie “Static Tundra” / “Berserk Bear” / “Ghost
Blizzard” i jest zbieżna z historycznymi działaniami grupy odpowiedzialnej za ataki m.in. BlackEnergy oraz PrestigeRansomware. Nie wiemy dlaczego (choć się domyślamy) w raporcie nie napisano tego wprost, ale ta grupa została już dawno rozpoznana i powiązana z działalnością rosyjskiego FSB.

Czyli to Rosjanie, ale nie ci z GRU, których sugerował raport ESET-u, a inni — z FSB. CERT Polska wprost pisze, że na bazie zgromadzonych dowodów, nie można jednoznacznie określić, że grupa stojąca za “Sandworm” podniosłą na nas rękę w tym ataku.
ataku.”

Na marginesie, marzy nam się, aby w tego typu publikacjach dochodziło do międzysektorowej współpracy. Trochę to wygląda na zmarnowaną szansę SKW (również znanego z bardzo dobrych raportów), które mogłoby gościnnie dołączyć do publikacji i postawić kropkę nad i, potwierdzając wnioski co do atrybucji i wprost nazywając przeciwnika — co było już robione w przeszłości przez tę służbę.

To trzeba podkreślić

Nie ma co ukrywać, błędy popełnione przez obiekty OZE są z gatunku tragicznych. Ale trzeba podkreślić, że zaatakowane obiekty są “małe”. Za małe, aby były systemowo objęte odpowiednimi wymogami i regulacjami, które już dla sektora energetycznego istnieją i “rozwiązują” problem tak rażących błędów konfiguracyjnych jakie prezentowały zhackowane obiekty. Dobrze by było, gdyby jednak mniejsi instalatorzy tego typu infrastruktury samodzielnie i już teraz wzięli sobie je do serca.

W raporcie CERT Polska stoi “co najmniej 30 obiektów”. Dokładna liczba nie jest znana, bo nie wszyscy mają nawyk zgłaszania incydentów, zwłaszcza mniejsze podmioty. Rekomendujemy aby zaczęły to robić, bo wszystkim wyjdzie to na dobre. Warto też aby tego typu podmioty zarejestrowały się na moje.cert.pl, dzięki czemu uzyskają dostęp do niepokojących sygnałów dotyczących ich infrastruktury, które mogą pochodzić z wielu zewnętrznych źródeł.

Sprawdź swoją sieć zanim będzie za późno

Można powiedzieć, że dzięki takim rażącym błędom i tak niewielkiej liczbie ofiar atak nie był spektakularny i był raczej łatwy do przeprowadzenia oraz “żadna to sztuka”. I to jest po części prawda, ale sposób wykonania ataku (szybkość i rozpoznanie) oraz skoordynowane działania pokazują kunszt przeciwnika, który należy obiektywnie docenić.

Atakujący podmieniali firmware na “popsuty” aby unieruchomić niektóre z urządzeń. Mieli je wcześniej doskonale rozpoznane.

Sprawdźcie, czy coś z Waszej infrastruktury nie próbowało się łączyć do 31.172.71[.]5 i rzućcie okiem na pozostałe IoC z raportu CERT Polska.

Podsumowując, w końcówce roku Polska dostała bolesnego klapsa. Nie było to ostre lanie, ale niech ten klaps będzie ostrzeżeniem dla wszystkich, którzy w swoich sieciach mają bałagan (domyślne hasła, niezaktualizowany firmware, wyłączone funkcje bezpieczeństwa) bo liczą na to, że nic się nie stanie, ponieważ obroni ich urządzenie brzegowe znanego producenta.

Koledzy i koleżanki, napiszemy wprost: ruszcie dupska i posprzątajcie, bo za miesiąc to Wasza sieć może być bohaterem podobnych wydarzeń. Rosjanie (i nie tylko oni) aktywnie i masowo szukają w polskiej cyberprzestrzeni podatnych na atak urządzeń, nie tylko marki Fortinet, przejmują nad nimi kontrolę i buszują po sieci zostawiając sobie dostępy “na przyszłość”. Wiele z sieci czytających to osób jest już teraz spenetrowana. Jeśli nie wiecie jak wykryć i posprzątać taki atak, zapraszamy do kontaktu.