Atak na sektor energetyczny. CERT Polska opublikował raport techniczny

Pod koniec grudnia ubiegłego roku doszło do serii skoordynowanych ataków w polskiej cyberprzestrzeni. Działania wymierzone były w liczne farmy wiatrowe i fotowoltaiczne, spółkę z sektora produkcyjnego oraz w elektrociepłownię dostarczającą ciepło dla prawie pół miliona odbiorców w Polsce. Grudniowe ataki można porównać do celowych podpaleń. Zawarta w raporcie dokładna analiza przeprowadzona po incydentach pozwala pokazać schemat działania atakujących oraz wykorzystane przez nich narzędzia.

– Cel tego ataku był wyłącznie destrukcyjny. Niskie temperatury, intensywne opady śniegu – to był z perspektywy atakujących idealny moment, by działać. Zasiać niepokój i strach, odcinając Polaków od źródeł ciepła – podkreśla wicepremier, minister cyfryzacji Krzysztof Gawkowski.

Zaatakowano co najmniej 30 polskich farm wiatrowych i fotowoltaicznych. Spowodowało to zerwanie komunikacji między obiektami a operatorami sieci dystrybucyjnej. Choć nie doszło do przestoju produkcji energii elektrycznej, to istniało takie ryzyko – strona atakująca skutecznie złamała kilka poziomów zabezpieczeń. Należy podkreślić, że nawet, gdyby atak zakończył się powodzeniem, to taki scenariusz nie miałby wpływu na stabilność polskiego systemu elektroenergetycznego. Opublikowany przez CERT Polska raport pokazuje jednak skalę ataku.

– Skoordynowana współpraca wielu polskich instytucji, w tym CERT Polska, przy badaniu tego incydentu, a także jakość opublikowanego dziś raportu, to dowód polskich kompetencji w obszarze cyberbezpieczeństwa – dodaje wicepremier Krzysztof Gawkowski.

Celem grudniowego ataku była również jedna z polskich elektrociepłowni. Agresor usiłował dokonać sabotażu, który miał nieodwracalnie uszkodzić dane w ramach sieci wewnętrznej. Atakujący przez długi czas infiltrowali infrastrukturę elektrociepłowni i wykradali wrażliwe informacje dotyczące jej działania. Ostatecznie udało im się uzyskać dostęp do systemów podmiotu, jednak atak został zatrzymany przez systemy bezpieczeństwa organizacji.

– Zdarzenia miały wpływ zarówno na systemy informatyczne jak i urządzenia przemysłowe, co jest rzadko spotykane w dotychczas opisywanych atakach. Publikujemy ten raport, aby przekazać wiedzę o przebiegu zdarzeń i zastosowanych przez atakującego technikach – podkreśla Marcin Dudek, szef CERT Polska. – Liczymy, że uświadomi to ryzyko związane z dywersją w cyberprzestrzeni, bo odnotowane ataki są znaczną eskalacją w porównaniu z obserwowanymi przez nas do tej pory zdarzeniami – dodaje.

Na podstawie analizy technicznej można stwierdzić, że wszystkie opisane w raporcie ataki zostały przeprowadzone przez tego samego atakującego.

– Zidentyfikowane działania pokazują, że ataki na infrastrukturę krytyczną stają się coraz bardziej złożone i niebezpieczne. Taki charakter incydentów wymaga stałego monitorowania zagrożeń, podnoszenia poziomu zabezpieczeń i szybkiej wymiany informacji pomiędzy podmiotami odpowiedzialnymi za cyberbezpieczeństwo – mówi Iwona Prószyńska z CERT Polska.

Więcej informacji na temat ataków z 29 grudnia 2025 znajduje się w „Raporcie z incydentu w sektorze energii 29.12”.