CERT Polska: sprawca cyberataku z 29 grudnia wykorzystał podatność jednego typu urządzeń
Cyberatak na źródła energii z 29 grudnia 2025 r. został dokonany przez jednego atakującego, wykorzystał podatność jednego typu urządzeń, miał charakter destrukcyjny - wynika z opublikowanego w piątek przez CERT Polska raportu z incydentu.
Zgodnie z raportem, w obszarze OZE doszło do ataku na co najmniej 30 farm wiatrowych i fotowoltaicznych w Polsce. Atak miał cel destrukcyjny i spowodował zerwanie komunikacji między obiektami a operatorami sieci dystrybucyjnej (OSD), ale nie miał on wpływu na bieżącą produkcję energii elektrycznej. Z uwagi na poziom dostępów uzyskanych przez atakującego istniało ryzyko spowodowania przestoju w produkcji energii elektrycznej przez obiekt. Jednak nawet gdyby tak się stało, to według przeprowadzonych analiz ubytek sumarycznej mocy wszystkich 30 obiektów nie wpłynąłby na stabilność polskiego systemu elektroenergetycznego.
Wykorzystywanie tych samych kont i haseł w wielu obiektach
Jak ustalił CERT Polska, w każdym zaatakowanym obiekcie było obecne urządzenie Fortigate pełniące funkcję koncentratora VPN oraz Firewalla. W każdym przypadku interfejs VPN był dostępny z sieci Internet i umożliwiał logowanie na zdefiniowane w konfiguracji konta bez wieloskładnikowego uwierzytelniania. W toku analizy ustalono, że w przeszłości niektóre z tych urządzeń w różnych okresach przez dłuższy czas były podatne, w tym na zdalne wykonanie kodu.
Z przeprowadzonego wywiadu wynika, że powszechną praktyką w branży jest wykorzystywanie tych samych kont i haseł w wielu obiektach - podkreślono w raporcie. W takiej sytuacji przejęcie nawet jednego konta mogło pozwolić na znalezienie innych urządzeń, w których było ono użyte. W wyniku ataku doszło do uszkodzenia sterowników RTU, co było bezpośrednią przyczyną zerwania komunikacji obiektu z OSD i uniemożliwienia zdalnego sterowania, jednak nie wpłynęło to bezpośrednio na bieżącą produkcję - ustalił CERT Polska. W raporcie podkreślono, że producenci sterowników potwierdzili taki przebieg ataku.
Kradzież wrażliwych informacji
29 grudnia 2025 r. obiektem ataku stała się też duża elektrociepłownia. W tym przypadku, według CERT Polska celem sabotażu było nieodwracalne uszkodzenie danych w sieci wewnętrznej poprzez uruchomienie oprogramowania typu viper. Sam destrukcyjny atak poprzedzony był długotrwałą infiltracją infrastruktury, kradzieżą wrażliwych informacji oraz uzyskaniem przez atakującego dostępu do uprzywilejowanych kont. Używane w zaatakowanej instytucji oprogramowanie klasy EDR rozpoznało szkodliwe działanie i zablokowało atak vipera - podkreślono w raporcie. W sieci zaatakowanego podmiotu również pracowały urządzenia Fortigate.
Tego samego dnia doszło również do próby zakłócenia funkcjonowania przedsiębiorstwa z sektora produkcyjnego, także wykorzystującego urządzenia Fortigate. Działania te zostały przeprowadzone w skoordynowany sposób z atakami na przedsiębiorstwa sektora energetycznego, ale cel miał charakter oportunistyczny i nie jest powiązany z innymi podmiotami - ocenił CERT Polska.
Ataki były przygotowane przez grupy związane z rosyjskimi służbami?
Analiza infrastruktury wykorzystanej do ataku pozwala stwierdzić, że w znacznym stopniu pokrywa się ona z infrastrukturą używaną przez klaster aktywności znany w przestrzeni publicznej jako „Static Tundra”, „Berserk Bear”, „Ghost Blizzard” oraz „Dragonfly” - stwierdza się w raporcie. Publicznie dostępne opisy działań wskazują na duże zainteresowanie sektorem energetyki oraz posiadanie odpowiednich zdolności do atakowania urządzeń przemysłowych, co jest zbieżne z obserwowanymi w incydencie działaniami atakującego - zauważa CERT Polska. Według ustaleń służb m.in. USA i Wielkiej Brytanii infrastruktura klastra pokrywa się z tą, używaną przez grupę powiązaną z rosyjską FSB.
CERT Polska to działający w strukturach Naukowej i Akademickiej Sieci Komputerowej – Państwowego Instytutu Badawczego zespół - pierwszy powstały w Polsce zespół reagowania na incydenty cyberbezpieczeństwa. (PAP)
wkr/ mmu/gn/
