Skoordynowany atak na polską elektrociepłownię – zimowy sygnał alarmowy

Czy gdy na zewnątrz trzaska mróz, ktoś przez dziewięć miesięcy gramoli się przez Twoją serwerownię? W jednej z polskich elektrociepłowni – tak. W grudniu 2025 r. próbowano tam wyczyścić setki komputerów jednym ruchem. Zatrzymały to „kanarki” w EDR-ze. Antywirus? Nawet nie kichnął.

To nie był wypadek przy pracy. Według raportu CERT Polska, atak na elektrociepłownię (obsługującą blisko pół miliona osób) był finałem długiej infiltracji trwającej od wiosny 2025 r. i elementem szerszej, skoordynowanej operacji obejmującej co najmniej 30 farm wiatrowych i fotowoltaicznych. Scenariusz był czysto destrukcyjny: zasiać chaos w najgorszym momencie – na mrozie, tuż przed Nowym Rokiem. Ostatecznie nie doszło do przerwy w dostawach ciepła, ale wnioski są trzeźwiące.

Dla polskiej energetyki to ważny sygnał ostrzegawczy. Po pierwsze – skala i synchronizacja: IT i OT zaatakowane jednocześnie, z przygotowaniem trwającym miesiącami. Po drugie – punkty wejścia: urządzenia na brzegu sieci, bez 2FA, często z łatami instalowanymi „jak będzie okienko”. Po trzecie – obrona: tradycyjny antywirus bywa dziś figurantem, realnie liczy się widoczność i reakcja (EDR), sensowna segmentacja i podstawy higieny.

Wejście: FortiGate, RDP i szybka ścieżka do domeny

Śledztwo CERT wskazuje, że atakujący najpierw dostali się na urządzenie brzegowe FortiGate, a stamtąd – na maszynę „przesiadkową” i po RDP w głąb, aż do kontrolera domeny. Jak? Dwa główne warianty są najbardziej prawdopodobne: zdalne wykorzystanie jednej z podatności FortiGate albo logowanie skradzionymi/banalnymi hasłami, bez dwuskładnikowego uwierzytelnienia. Tego samego dnia odnotowano logowania z adresu przypisanego do interfejsu FortiGate, potem łańcuszek RDP na kolejne hosty. Klasyka. [1]

Miesiące w ukryciu: Active Directory na tacy

Przez wiosnę i lato 2025 r. napastnik poruszał się po sieci prawie niepostrzeżenie, korzystając głównie z ogólnodostępnych narzędzi: Advanced Port Scanner do rekonesansu, Impacket do ruchów bocznych, Rubeus do operacji na Kerberosie, reverse SOCKS do tuneli. W drugiej połowie lipca zrzucił całą bazę Active Directory (ntds.dit), a wcześniej sięgnął po tzw. Diamond Ticket, czyli złoty bilet do domeny na sterydach. Przy okazji – smaczek z raportu: do kradzieży konfiguracji kilku urządzeń FortiGate użyto… przeglądarki Microsoft Edge uruchomionej w trybie prywatnym. Narzędzia zwyczajne, efekt destrukcyjny. [2][3]

Finał: wiper i „kanarki”, które uratowały setki stacji

29 grudnia 2025 r. ruszył atak właściwy: z kontrolera domeny próbowano rozdystrybuować przez GPO oprogramowanie typu wiper (DynoWiper) mające niszczyć dane na stacjach. Antywirus go nie wychwycił. Zadziałał dopiero EDR, który zablokował wykonanie na podstawie mechanizmu „canary files” – plików, których modyfikacja jest sygnałem alarmowym. Dzięki temu zatrzymano nadpisywanie danych na ponad 100 maszynach. W infrastrukturze były też próby naruszenia dysków macierzy RAID – to nie była symulacja, tylko realna próba sabotażu. [3]

Skoordynowany atak na OZE: komunikacja na kolanach, produkcja stoi… nadal

Tego samego dnia oberwało co najmniej 30 farm wiatrowych i PV. Wejście? Znów FortiGate – bramy VPN dostępne z internetu, często bez MFA i z dawno niełatanymi lukami. Logi przepadły, bo urządzenia odtworzono do fabryki, ale wzorzec jest jasny: dostęp, kradzież haseł, powtarzalność poświadczeń w wielu lokalizacjach. W sieci wewnętrznej atakujący paraliżowali sterowniki i panele HMI różnymi metodami: [6][7]

• w RTU Hitachi – logowanie domyślnymi danymi do WWW i wgranie uszkodzonego firmware’u,
• w RTU Mikronika – root po SSH i kasowanie plików systemowych,
• w zabezpieczeniach Hitachi Relion – domyślne konto FTP i kasowanie kluczowych plików,
• w HMI Mikronika – przejęcie lokalnego admina i uruchomienie DynoWipera 29 grudnia,
• w serwerach portów Moxa NPort – reset do fabryki, zmiana haseł i IP na „donikąd”.

Efekt: zerwanie komunikacji między obiektami a operatorami, utrata zdalnego sterowania. Produkcja energii nie stanęła, a stabilność krajowego systemu nie była zagrożona – ale dla zaatakowanych operatorów to był realny ból.

Kto za tym stoi

CERT Polska wiąże infrastrukturę ataku z rosyjskim klastrem aktywności określanym przez różnych dostawców jako Static Tundra, Berserk Bear, Ghost Blizzard lub Dragonfly – grupy historycznie zainteresowane energetyką. DynoWiper zawiera podobieństwa do narzędzi powiązanych m.in. z Sandwormem, ale nie na tyle duże, by przypisać go wprost. Innymi słowy: rosyjska ręka, nowa mieszanka technik. W trzecim wektorze – w prywatnej firmie produkcyjnej – pojawił się dodatkowo LazyWiper, którego kod w znacznej części wygenerowano przy pomocy modeli językowych. Tak, AI przyspiesza także „produkty” po drugiej stronie barykady. [7][4]

Co poszło źle (i co zadziałało)

Jeśli szukacie morału, to raczej nie jest on romantyczny:

• FortiGate jako single point of failure. SSL-VPN bez 2FA to dziś otwarte drzwi, a nie „komfort pracy”.
• Powtarzalne poświadczenia serwisowe i domyślne hasła w OT. To proszenie się o kłopoty.
• Aktualizacje i funkcje bezpieczeństwa urządzeń przemysłowych? Zbyt często „to później”.
• Antywirus nie wystarcza. Widoczność zachowań, polityki blokowania i „kanarki” w EDR uratowały dzień.

Zadziałał też czynnik ludzki i procesy: szybkie wykrycie anomalii, odseparowanie segmentów, ręczne procedury awaryjne. Gdy zabraknie jednego z tych elementów, scenariusz może być mniej łaskawy.

Dlaczego to nie był blackout – i co dalej

Raporty są zgodne: nawet gdyby część skoordynowanych działań się powiodła, nie groził nam systemowy blackout. Ale w skali pojedynczych obiektów ryzyko zatrzymania pracy było realne, a zimowy timing dobrany z zimną premedytacją. Dziś to „cyfrowe podpalenie” skończyło się na nadpalonych drzwiach. Następnym razem ktoś może sięgnąć po benzynę premium.

Na chłodno: jeśli Waszą sieć chroni FortiGate, załóżcie najgorsze i sprawdźcie, czy ktoś już tam nie mieszka. Włączcie 2FA (zwłaszcza na kontach adminów), przestańcie ufać domyślnym hasłom w OT, łatajcie brzeg bez zwłoki, wdróżcie EDR z sensowną telemetrią i reagowaniem. A przede wszystkim – segmentujcie, audytujcie, testujcie. Atakujący właśnie dali Wam listę kontrolną.

FAQ

Czy atak na elektrociepłownię spowodował przerwy w dostawach ciepła?

Nie, atak nie przerwał dostaw ciepła. EDR zablokował próbę zniszczenia danych na ponad 100 stacjach, a systemy krytyczne działały dalej.

Kiedy rozpoczęła się infiltracja elektrociepłowni?

Infiltracja rozpoczęła się w okresie marzec-maj 2025 r. i trwała do ataku finałowego 29 grudnia 2025 r.

Jak atakujący dostali się do sieci elektrociepłowni?

Najprawdopodobniej przez urządzenie FortiGate (podatność lub skradzione dane logowania bez 2FA), a potem po RDP na kolejne hosty aż do kontrolera domeny. [1]

Kto stoi za atakiem z 29 grudnia 2025 r.?

Z wysokim prawdopodobieństwem odpowiada za niego rosyjski klaster APT znany jako Static Tundra/Berserk Bear/Ghost Blizzard/Dragonfly. To przypisanie wynika z analizy infrastruktury i technik.

Jakie działania obronne miały największy wpływ?

Kluczowe było działanie EDR (mechanizm „kanarków”), segmentacja oraz szybkie procedury reagowania. Sam antywirus nie wykrył wipera.

Źródła

• [1] https://sekurak.pl/atakujacy-infiltrowali-infrastrukture-polskiej-elektrocieplowni-przez-prawie-rok-znamy-pelne-szczegoly-incydentu/
• [2] https://facebook.com/sekurak/posts/atakuj%C4%85cy-infiltrowali-infrastruktur%C4%99-it-du%C5%BCej-polskiej-elektrociep%C5%82owni-przez-p/1336973871799001/
• [3] https://zaufanatrzeciastrona.pl/post/kto-i-w-jaki-sposob-zaatakowal-w-grudniu-2025-polska-infrastrukture-energetyczna/
• [4] https://crn.pl/aktualnosci/najwiekszy-cyberatak-na-polska-energetyke-nowe-informacje/
• [5] https://nask.pl/aktualnosci/atak-na-sektor-energetyczny-cert-polska-opublikowal-raport-techniczny
• [6] https://niebezpiecznik.pl/post/rosja-atak-polska-energetyka-oze-osd/
• [7] https://telepolis.pl/tech/bezpieczenstwo/cyberatak-na-infrastrukture-energii-w-polsce-raport-cert-polska
• [8] https://cyberrescue.info/cyberprzestepcy-uderzaja-w-polska-infrastrukture-wodno-energetyczna/
• [9] https://cyberdefence24.pl/cyberbezpieczenstwo/udany-atak-prorosyjskiej-grupy-na-polska-cieplownie