Pod koniec 2025 r. Polska doświadczyła jednego z najpoważniejszych cyberincydentów w infrastrukturze krytycznej w ostatnich latach. Zespół CERT Polska opublikował szczegółowy raport analizujący skoordynowany atak wymierzony w sektor energetyczny - w tym farmy wiatrowe i fotowoltaiczne, dużą elektrociepłownię oraz przedsiębiorstwo z sektora produkcyjnego. Celem było powodowanie szkód i zakłóceń w systemach sterowania, a nie bezpośrednia kradzież danych czy żądanie okupu.
Czym był atak?
W dniu 29 grudnia 2025 r. w godzinach porannych oraz popołudniowych doszło do koordynowanych działań cybernetycznych o charakterze destrukcyjnym wymierzonych w krytyczną infrastrukturę energetyczną Polski. Ataki objęły:
- ponad 30 farm wiatrowych i fotowoltaicznych,
- dużą elektrociepłownię dostarczającą ciepło dla prawie pół miliona odbiorców,
- prywatne przedsiębiorstwo z sektora produkcyjnego.
Wszystkie te działania miały cel sabotażowy, podobny do "cybernetycznego podpalenia" - miały uszkodzić systemy sterowania i utrudnić nadzór nad procesami przemysłowymi. Ataki miały istotny wpływ zarówno na systemy informatyczne (IT), jak i na urządzenia automatyki przemysłowej (OT).
Jak przebiegały ataki?
Atak na farmy OZE
Atakujący uzyskali dostęp do sieci wewnętrznych stacji elektroenergetycznych, które są punktami łączenia farm wiatrowych i fotowoltaicznych z siecią dystrybucyjną. Po infiltracji przeprowadzono rekonesans, a następnie uruchomiono działania destrukcyjne. Polegały one m.in. na:
- uszkadzaniu oprogramowania sterowników RTU,
- usuwaniu plików systemowych,
- uruchamianiu złośliwego oprogramowania typu wiper (niszczącego dane i urządzenia)W efekcie stacje straciły zdolność komunikacji z systemami operatora i zdalnego sterowania, choć produkcja energii elektrycznej nie została przerwana.
Elektrociepłownia i przedsiębiorstwo produkcyjne
Atak na elektrociepłownię miał na celu nieodwracalne uszkodzenie danych w jej wewnętrznych systemach przy pomocy wiperów. Atak poprzedziła długotrwała infiltracja oraz kradzież wrażliwych informacji, w tym kont uprzywilejowanych - co umożliwiło poruszanie się po infrastrukturze. Wdrożone rozwiązania klasy EDR zablokowały próbę aktywowania złośliwego oprogramowania, co zapobiegło zakłóceniom w dostawie ciepła
Podobne oprogramowanie typu wiper wykorzystano także w próbie zakłócenia działania firmy z sektora produkcyjnego - działania te miały charakter oportunistyczny i były koordynowane z atakami na sektor energii.
Kto stoi za atakiem?
Analiza wykorzystanej infrastruktury (między innymi serwerów VPS, routerów oraz wzorców ruchu sieciowego) wskazuje, że ataki mają wiele wspólnych cech z działalnością tzw. klastra aktywności znanego jako "Static Tundra" - to grupa powiązana w analizach międzynarodowych z nazewnictwami typu Berserk Bear, Ghost Blizzard czy Dragonfly. Jej działania wcześniej koncentrowały się na sektorze energetycznym i atakowaniu urządzeń przemysłowych. To pierwszy znany publicznie atak o charakterze destrukcyjnym przypisany temu klastrowi aktywności.
Wnioski i rekomendacje
W raporcie CERT Polska poza opisem incydentu zawarto także rekomendacje mające na celu zwiększenie odporności na podobne ataki w przyszłości, m.in.:
- weryfikacja logów oraz IoC (wskaźników kompromitacji) we własnych systemach,
- rejestracja zasobów w systemie moje.cert.pl oraz utrzymywanie aktualnych danych kontaktowych,
- wdrożenie rekomendacji dotyczących zwiększenia bezpieczeństwa systemów OT/ICS,
- zgłaszanie incydentów do odpowiednich zespołów CSIRT (np. CSIRT GOV, CSIRT NASK).
Co to oznacza dla Polski?
Choć dostawy energii elektrycznej i ciepła nie zostały zakłócone, incydent z końca 2025 r. pokazuje, że infrastruktura krytyczna jest coraz bardziej narażona na zaawansowane, destrukcyjne działania cyberprzestępcze. To sygnał dla operatorów OZE, elektrociepłowni oraz innych systemów krytycznych, że cyberbezpieczeństwo to dziś nie tylko kwestia IT, ale fundamentalny element bezpieczeństwa państwa.