Amerykańscy eksperci z firmy Dragos ujawnili, że za grudniowym uderzeniem w polską sieć energetyczną stoi rosyjska grupa Electrum – ci sami hakerzy, którzy wcześniej atakowali infrastrukturę na Ukrainie. Celem były nowoczesne i rozproszone elektrownie wiatrowe i słoneczne.
- Amerykańscy eksperci z firmy Dragos wskazali, że za uderzeniem w polską sieć energetyczną z grudnia 2025 r. stoi grupa Electrum, sponsorowana przez Moskwę i odpowiedzialna za wcześniejsze ataki na Ukrainę.
- Agresorzy uderzyli w rozproszone źródła energii.
- Atak był jednoczesną operacją wymierzoną w wiele obiektów w całym kraju.
- Według analityków cyberprzestępcom zabrakło czasu na pełne przygotowanie.
Amerykańska firma Dragos opublikowała raport, w którym odniosła się do cyberataku na polską infrastrukturę z grudnia 2025 r. Zdaniem ekspertów za działaniami wymierzonymi w sieć energetyczną Polski stała sponsorowana przez Moskwę grupa Electrum.
Dragos przedstawia się jako wiodąca na świecie firma zajmująca się technologią operacyjną (Operational technology – OT) i cyberbezpieczeństwem. Dostarcza technologie dla infrastruktury przemysłowej i krytycznej.
Grudniowy atak na infrastrukturę energetyczną w Polsce. Amerykańska firma wskazuje winnego
Autorzy we wstępie do raportu napisali, że „29 grudnia 2025 r. skoordynowany cyberatak wymierzony był w wiele obiektów w polskiej sieci elektroenergetycznej, w szczególności w te podłączone do rozproszonego systemu wytwarzania energii”. Eksperci przypomnieli, że celem ataku były systemy komunikacji i sterowania oraz systemy zarządzania dystrybucją energii odnawialnej z elektrowni wiatrowych i słonecznych. Dragos przekazał, że był „to pierwszy poważny cyberatak wymierzony w rozproszone zasoby energii, mniejsze obiekty wiatrowe, słoneczne”.
W raporcie napisano, że „z umiarkowanym prawdopodobieństwem” za cyberatak na infrastrukturę odpowiada grupa Electrum, która zdaniem Dragosa była odpowiedzialna za ataki na ukraińską infrastrukturę w 2015 i 2016 r. „Grupa ta wykazała się dogłębną wiedzą na temat urządzeń i działania sieci elektroenergetycznych, biegłością w obsłudze protokołów przemysłowych stosowanych w systemach energetycznych oraz umiejętnością tworzenia niestandardowych narzędzi do złośliwego oprogramowania i usuwania danych zarówno dla środowisk IT, jak i OT” – napisano o cyberprzestępcach.
Zdaniem Dragosa hakerzy w kolejnych latach przeprowadzali rozpoznanie w infrastrukturze europejskiej, poszerzając swoją wiedzę na temat potencjalnych celów. Po ataku Rosji na Ukrainę w 2022 r. zaatakowali sieć satelitarną, zakłócając komunikację dziesiątek tysięcy terminali. Wśród poszkodowanych w wyniku tego ataku wymieniono ukraińską armię i turbiny wiatrowe w Niemczech.
Dziesięcioletnie doświadczenie cyberprzestępców
W raporcie wskazano, że atak z grudnia 2025 r. na polską infrastrukturę ma cechy podobne do poprzednich operacji grupy ELECTRUM. Eksperci zwrócili jednak uwagę na zmianę strategii ataków – cyberprzestępcy zaatakowali elementy rozproszone i systemy komunikacyjne, a nie scentralizowane systemy sterowania. To odpowiedź na zmieniający się charakter sieci energetycznych, w których pojawia się więcej rozproszonych źródeł energii odnawialnej.
Dragos zwrócił uwagę, że atakujący osiągnęli ograniczony efekt swoich działań. Eksperci podejrzewają, że wynikło to z ograniczonego czasu na przygotowania.
„Atak na Polskę ma istotne znaczenie ze względu na skoordynowany charakter ataków na wiele lokalizacji jednocześnie” – dodano.
Ataki na OZE. Ekspert komentuje
W rozmowie z portalem Zero.pl ekspert od cyberbezpieczeństwa Ludwik Kowalewski komentuje wyniki analizy amerykańskich analityków.
– Ataki na OZE będą coraz częstsze, bo rozproszona energetyka to setki małych, zdalnie zarządzanych punktów. Każdy taki punkt ma „brzeg” (urządzenia dostępowe i komunikacyjne), który bywa słabiej chroniony niż centralna infrastruktura. W praktyce przeciwnik nie musi przełamywać jednego, najlepiej zabezpieczonego celu – wystarczy, że wejdzie w kilka mniejszych obiektów i zbuduje efekt skali – powiedział.
Jego zdaniem priorytetem obrony powinny być „brzegi sieci”, gdzie znajdują się urządzenia podłączone do internetu.
– Wojna w Ukrainie pokazała, że energetyka jest celem strategicznym, bo wpływa na bezpieczeństwo i funkcjonowanie państwa. Presja nie musi polegać na jednym widowiskowym zdarzeniu, tylko na serii uderzeń, które podnoszą koszty i obniżają zaufanie do stabilności infrastruktury. Ataki „punktowe” mogą być równie groźne, gdy są powtarzalne i prowadzą do przeciążenia służb utrzymaniowych oraz procedur awaryjnych – podsumował ekspert z Oryon Systems.
Styczniowa konferencja Donalda Tuska. „Polska obroniła się przed próbami destabilizacji infrastruktury energetycznej”
Opinia publiczna o cyberatakach poinformowana została 15 stycznia podczas konferencji prasowej premiera Donalda Tuska po spotkaniu z przedstawicielami instytucji odpowiedzialnych za bezpieczeństwo energetyczne.
– Chcę powiedzieć, że Polska obroniła się przed próbami destabilizacji infrastruktury energetycznej – powiedział premier, dodając, że celem ataku były „elementy infrastruktury energetycznej”.
Premier Tusk uspokoił, że „ani przez chwilę nie była zagrożona infrastruktura krytyczna" i „nie groziła destabilizacja całego systemu czy blackout”.