W środku mroźnej zimy, tuż przed końcem roku, polski system energetyczny rzekomo wystawiono na poważną próbę. Infrastruktura stała się celem cyberataku. Są i tacy, którzy twierdzą, że najpoważniejszego od lat.
Sprawa wydaje się poważna, bo nie milczą o niej nawet politycy. W gronie podejrzanych jako sprawców tego ataku są grupy powiązane z rosyjskim wywiadem GRU (Główny Zarząd Wywiadowczy), a także z FSB (Federalna Służba Bezpieczeństwa Federacji Rosyjskiej). Czy to oni chcieli pozbawić nas ogrzewania i prądu?
Wszyscy śpią spokojnie
Mija ponad miesiąc od ataku na polską infrastrukturę krytyczną. Dziś wiemy, że szczęśliwie nieskutecznego. O całej sytuacji związanej z potencjalnym blackoutem zrobiło się głośno, gdy analitycy z ESET, poinformowali, że polska energetyka była w grudniu celem bardzo poważnego cyberataku, który miał na celu zachwiać systemem wytwarzania oraz przesyłania prądu i ciepła. Co wydarzyło się pod koniec 2025 roku w jeden z ostatnich, grudniowych dni?
Zostaliśmy zaatakowani złośliwym oprogramowaniem o kryptonimie DynoWiper. Dotychczas nieznanym – to jego operacyjny debiut. Można z dużą dozą prawdopodobieństwa (graniczącą wręcz z pewnością) założyć, że chodziło po prostu o destrukcję, a nie żaden okup czy szpiegostwo. Wipery służą atakującym do usunięcia danych z zainfekowanego systemu, a ponadto niszczenia kopii zapasowych, aby efekty ich działań były jak najpoważniejsze. Bez wątpienia chciano zakłócić pracę systemów, coś unieruchomić czy wywołać panikę. Często powrót do operacyjności po takim ataku może trwać bardzo długo, a w dodatku kosztować majątek.
W grudniu zaatakowano kilka obiektów odpowiedzialnych za wytwarzanie prądu. W tym jedną elektrociepłownię i kilka pomniejszych instalacji Odnawialnych Źródeł Energii, fotowoltaiki i turbin wiatrowych. Atak był rozproszony – cele znajdowały się w różnych lokalizacjach – co miało mieć poważniejsze skutki, gdyby wszystko poszło po myśli atakujących. Atakującym udało się zakłócić mechanizm komunikacji pomiędzy obiektami a operatorem sieci energetycznej. Nie miało to jednak wpływu na bieżącą produkcję energii.
DynoWiper to nie wszystko. ESET wykrył jeden z takich ataków u swojego klienta, korzystającego z oprogramowania XDR. To pozwoliło pozyskać próbki do analizy, która wskazała też na oprogramowaniu o kryptonimie ZOV. A w sumie to coś do niego podobnego, jednak nieco zmodyfikowanego. ZOV pojawił się wcześniej w Ukrainie, gdzie z jego wykorzystaniem atakowano również sektor energetyczny oraz finansowy. I to nadal nie koniec. Bo raport CERT Polska donosi o jeszcze jednym szczepie wiperów wykorzystanym i w tym ataku. Mowa o LazyWiperze i tu – ciekawostka – wiele wskazuje na to, że został on w dużej mierze napisany z wykorzystaniem AI.
Po raz pierwszy tak bezpośrednio staliśmy się celem
Brzmi poważnie, sprawa dotyczy infrastruktury krytycznej, a w głowach rodzi się pytanie: „Tylko jakie tak właściwie były skutki tego ataku?” A no… praktycznie żadne. Można śmiało stwierdzić, że atak nie powiódł się, choć nie ujawniono – z wiadomych przyczyn – dlaczego. Jak się okazuje jesteśmy, na szczęście, w stanie radzić sobie z takim zagrożeniem bezpieczeństwa narodowego. Natomiast to wcale nie oznacza, że można je bagatelizować. Po raz pierwszy tak bezpośrednio staliśmy się celem i możemy spodziewać się, że to nie ostatni raz.
Polskie Sieci Elektroenergetyczne uspokajają. Poinformowały, że w 2025 roku nie odnotowały żadnego krytycznego incydentu bezpieczeństwa. Oznacza to, że stabilność pracy w żadnym momencie nie była zagrożona. W dodatku liczba tych incydentów, o ile jeszcze niedawno znacznie wzrastała z roku na rok, tak od jakichś dwóch lat jest w miarę stała i nie zmieniła się znacząco w stosunku do 2024 roku.
Jednym z operatorów, który przyznał się do bycia celem ataku, jest Enea. Jedna z ich instalacji OZE po ataku miała czasowe zakłócenia w łączności. Nie wpłynęło to jednak w żaden znaczący sposób na nic innego, a incydent – zgodnie z procedurami – zgłoszono do CSIRT GOV.
Atak z grudnia nie jest odosobnionym przypadkiem
Sytuacja z końca grudnia nie jest wyjątkiem. 10 stycznia późnym wieczorem pracownicy małej, lokalnej ciepłowni w Rucianem-Nidzie zauważyli zmianę ustawień parametrów jednego z kotłów. Zmianę, której sami nie wprowadzili.
Początkowo uznano, że to jakaś drobna awaria. Nie doszło do zmiany temperatury czy ciśnienia w układzie, zadziałały odpowiednie zabezpieczenia, a pracownicy byli czujni, więc obyło się bez potencjalnie groźnych konsekwencji. Nie doszło też do żadnej przerwy w świadczeniu usług, za to po kilku dniach, odezwała się do nich Policja.
Wtedy okazało się, że to nie drobna awaria, ale ktoś nieuprawniony uzyskał zdalny dostęp do ich systemu i „coś” poprzestawiał. Niecałe dwa tygodnie od tego zdarzenia Prokuratura Okręgowa w Olsztynie wszczęła w tej sprawie śledztwo, do którego materiał dowodowy zabezpieczyło Centralne Biuro Zwalczania Cyberprzestępczości.
Minister odpowiedzialny za sektor energetyczny, Miłosz Motyka, poinformował niedawno, że przeprowadzono kolejny atak, tym razem kategorii DDoS, wymierzony w strony internetowe i portale klienta Polskich Sieci Energetycznych oraz Agencji Rynku Energetyki. Tym razem skala była znacznie mniejsza i znów – bez większych skutków.
Ataki takie zdarzają się coraz częściej, praktycznie codziennie, ale wciąż dobrze radzimy sobie z ich odpieraniem. Są one elementem wojny hybrydowej, ponieważ pozwalają atakującym przygotować się na wypadek ewentualnej eskalacji konfliktu. Zresztą teraz każda, nawet zwykła awaria, będzie tak tłumaczona.
To pierwszy potwierdzony atak w tej skali wymierzony w naszą infrastrukturę krytyczną, co oznacza dość mocną eskalację i wysyła dość jasny sygnał. Ale nie ma potrzeby panikowania. Takich doniesień będzie teraz co niemiara. I to wcale nie znaczy, że jakoś lawinowo wzrosła ich skala. Po prostu jeden medialny atak sprawia, że o takich sprawach więcej się pisze.
Warto też przypomnieć, że jesteśmy wciąż w stopniu alarmowym BRAVO-CRP, czyli podwyższonym stopniu gotowości na ataki, więc takie działania są poniekąd spodziewane.
Jak do tego doszło, nie wiem? Trochę wiemy
Sprawa jest świeża, ale stale analizowana. Trzeba przyznać od razu, że nasze instytucje, służby i procedury stanęły na wysokości zadania. A teraz bierzemy lupę i sprawdzamy, co nie zagrało. Dlaczego nasze bezpieczeństwo zostało wystawione na próbę?
Nieco światła na tajemnicę: „Jak w ogóle znaleźliśmy się w tym miejscu?”, rzuca raport CERT Polska. Wnioski przytaczam nieco uproszczone, bo nie każdy błąd został popełniony w każdym przypadku. Ale do rzeczy.
Eksperci z CERT Polska informują, że „w każdym zaatakowanym obiekcie było obecne urządzenie Fortigate pełniące funkcję koncentratora VPN oraz Firewalla. W każdym przypadku interfejs VPN był dostępny z sieci Internet”. Możliwe było też logowanie bez wieloskładnikowego uwierzytelnienia, a powszechną praktyką w branży okazuje się wykorzystywanie tych samych kont i haseł w wielu obiektach.
Wykorzystanie tych samych loginów i haseł przypadku kilku obiektów w efekcie pozwoliło atakującym na wgranie aktualizacji oprogramowania, która uszkodziła sterowniki. Zupełnie jak w przypadku ataku na ViaSat, gdzie w podobny sposób uszkodzono łączność satelitarną. I to wszystko nie wydarzyło się przecież z dnia na dzień.
Atakujący byli w systemach niektórych z ofiar od początku grudnia. Wygodnie rozgościli się jak u siebie i zostawili sobie otwartą furtkę w postaci dziurawego firewalla nazwanego dla niepoznaki „Windows Update”, czekając na dobry moment. Dodatkowo automatycznie przesyłali sobie hasła administratora systemu co jakiś czas, na wypadek, gdyby ktoś je zmienił.
Co myślę o tym, jako ekspert cyberbezpieczeństwa? Jeśli wystawia się na świat firmowego VPNa, który pozwala na pełny dostęp do wewnętrznej sieci, to wypadałoby go zabezpieczyć czymś więcej niż samym loginem i hasłem. Nie korzysta się też w wielu miejscach z tych samych poświadczeń. Nie może być tak, że ktoś po połączeniu się swoimi danymi dostępowymi ma wgląd w rzeczy, do których w ogóle go nie potrzebuje. Zero-trust to nie jest puste hasło. To naprawdę elementarz i aż boli powtarzanie tego. Zwłaszcza gdy okazuje się, że gdy w swoim prywatnym życiu wdrożysz uwierzytelnianie dwuskładnikowe, to pewnie jesteś bezpieczniejszy niż niejedna elektrownia.
Rosjanie czy nie Rosjanie? – oto jest pytanie
Wipery są chyba jedną z ulubionych broni Rosjan w cyberprzestrzeni, jeśli trzeba wyrządzić w krótkim czasie jak najwięcej szkód. Użyli ich w 2015 roku na celach zlokalizowanych na terenie Ukrainy oraz podczas ataku na satelity ViaSat. Kolejnym przykładem jest słynna NotPetya, która w 2017 roku wywołała sporo chaosu w całej Europie. Rosjanie mają doświadczenie w tym zakresie, trudno im go odmówić. Czy stoją za atakiem w Polsce?
Nie ma w tej kwestii oficjalnej atrybucji, bo jest to po prostu trudne i jest zbieraniem śladów z wielu poszlak. Nie musi to być wcale żadna jednostka wywiadowcza, a po prostu haktywiści opowiadający się po stronie Rosji. Różnica w efekcie niewielka, często zresztą są to podmioty ściśle ze sobą powiązane lub współpracujące, ale pozwala rosyjskim władzom zaprzeczać w dyplomatycznych komunikatach, że mają z tym jakikolwiek związek.
ESET wskazuje bezpośrednio grupę nazwaną Sandworm i powiązaną z GRU, z dużą dozą prawdopodobieństwa, jako winnych całego zamieszania. Ale CERT Polska ma na ten temat inne zdanie. Ich badacze przeanalizowali zdecydowanie szerzej cały ten incydent, zaglądając nie tylko w złośliwe oprogramowanie, ale też w infrastrukturę atakujących – przejęte serwery VPS czy urządzenia sieciowe. Zresztą konsultując się też z innymi specjalistami w branży bezpieczeństwa.
Wnioski? Za wydarzeniem stoi prawdopodobnie grupa Static Tundra, na co wskazuje wykorzystana infrastruktura. Czyli też ruscy, tylko nie GRU, a FSB. Jakby w efekcie robiło to jakąś różnicę szaremu Kowalskiemu… Owszem, w kwestii złośliwego oprogramowania DynoWiper pojawiło się wiele podobieństw do Sandworma (GRU) więc albo się tym podzielili albo sobie nawzajem ukradli. W efekcie nie byliśmy nawet blisko blackoutu, padło wiele słów grozy, a cała sytuacja miejmy nadzieję spowoduje przyspieszenie prac nad poprawą bezpieczeństwa obiektów krytycznych.
Autor jest założycielem platformy edukacyjnej uczmnie.pl oraz aidevs.pl.