Reklama

Ślady grudniowego cyberataku na polską energetykę prowadzą do Rosji

Powiązana z rosyjskim wywiadem grupa Sandworm, odpowiedzialna za wiele ataków hakerskich, miała stać za grudniowym uderzeniem na polską infrastrukturę energetyczną — wynika z ustaleń analityków firmy ESET.

Publikacja: 24.01.2026 10:07

Ślady grudniowego cyberataku na polską energetykę prowadzą do Rosji

Foto: Adobestock

Bartłomiej Sawicki

Z tego artykułu się dowiesz:

  • Jakie są najnowsze ustalenia dotyczące cyberataków na polską energetykę?
  • Kim jest grupa Sandworm i jakie działania jej przypisano?
  • Jakie dowody wskazują na powiązania cyberataków z rosyjskimi służbami?
  • Jaka była reakcja polskiego rządu na próby destabilizacji energetycznej?
  • Jakie metody ochrony stosuje Polska przed zagrożeniami cybernetycznymi?
  • Jak drastycznie zmieniła się liczba incydentów cyberbezpieczeństwa w ostatnich latach?

Ataki nie doprowadziły do żadnych negatywnych konsekwencji. Wiele dowodów wskazywało na to, że ataki były przygotowane i związane wprost z rosyjskimi służbami. – Dowodów twardych raczej się nigdy nie zdobędzie, ale źródło wydaje się dość oczywiste – powiedział premier Donald Tusk na konferencji prasowej 15 stycznia, dodając, że są powody, aby sądzić, że ataki były szykowane od wielu tygodni. Teraz jednak wiemy coraz więcej o potencjalnych źródłach ataku. 

Ślad prowadzi do Rosji

Z ustaleń ESET (firma zajmująca się tworzeniem oprogramowania antywirusowego) wynika, że za atakiem stoi najprawdopodobniej powiązana z rosyjskim wywiadem grupa Sandworm. Wskazuje na to analiza złośliwego oprogramowania użytego przez cyberprzestępców, a także fakt, że atak przebiegał zgodnie z taktyką stosowaną już wcześniej przez Sandworm. Przestępcy mieli użyć oprogramowania typu wiper, którego celem było zniszczenie plików w wybranych systemach komputerowych. Zdaniem analityków, nieprzypadkowa może też być data uderzenia.  – Przeprowadzono je w samym środku zimy, dokładnie w 10. rocznicę zorganizowanego przez grupę Sandworm ataku na ukraińską sieć energetyczną. Był to pierwszy w historii przypadek przerwy w dostawie prądu spowodowany przez złośliwe oprogramowanie  – przekazała firma w komunikacie przesłanym naszej redakcji.

– Sentymentalni, niczym rosyjscy hakerzy – takimi słowami można skomentować doniesienia, że za przeprowadzonym pod koniec ubiegłego roku atakiem na polski system energetyczny, stała powiązana z wywiadem wojskowym GRU grupa APT Sandworm. Tak wynika z analizy przeprowadzonej przez ESET, który z uwagi na charakter ataku przypisuje go (ze średnim prawdopodobieństwem) właśnie wspomnianej grupie. Warto przypomnieć, że zasłynęła ona wywołaniem blackoutu w Ukrainie w 2015 roku, który pozbawił dostępu do energii ponad 200 tys. ludzi, a nieudany atak na Polskę zrealizowano dekadę później – mówi Paweł Śmigielski menedżer Stormshield w Polsce. (Stormshield to firma z branży IT, należąca do Airbus Group). 

Reklama
Reklama

Zdaniem analityków, nieprzypadkowa może też być właśnie data uderzenia w odniesieniu do tego, co wydarzyło się 10 lat temu. – Przeprowadzono je (ataki na Polskę – red.) w samym środku zimy, dokładnie w 10. rocznicę zorganizowanego przez grupę Sandworm ataku na ukraińską sieć energetyczną. Był to pierwszy w historii przypadek przerwy w dostawie prądu spowodowany przez złośliwe oprogramowanie – przekazała firma w komunikacie.

Analitycy zwracają również uwagę, że w obu przypadkach do realizacji ataków wykorzystano złośliwe oprogramowanie (malware).  – Jeśli te założenia okażą się prawdziwe, to będzie to kolejny bardzo mocny sygnał o zainteresowaniu ze strony Rosji destabilizacją sytuacji w naszym kraju z wykorzystaniem infrastruktury krytycznej. Tym bardziej warto dołożyć wszelkich starań, by zabezpieczać elementy systemu energetycznego, również te rozproszone – dodaje ekspert europejskiego producenta technologii bezpieczeństwa IT. Jak podkreśla ekspert, sposób działania związany z wykorzystaniem malware rodzi konieczność zachowania szczególnej czujności przez pracowników sektora energetycznego. – Trzeba mieć świadomość, że z uwagi na metodykę z jaką zwykły działać sponsorowane przez Rosję grupy przestępcze, nie można wykluczyć, iż udało im się zidentyfikować podatność, co skłoniło je do aktywnego działania – wskazuje  Śmigielski.

Seria prób ataków na polską energetykę 

Przypomnijmy, że pod koniec ub. roku, 29 i 30 grudnia doszło do ataku cybernetycznego na polską infrastrukturę energetyczną. – Polska obroniła się przed próbami destabilizacji i ani przez chwilę nie była zagrożona infrastruktura krytyczna odpowiedzialna za bezpieczeństwo energetyczne – zapewnił 15 stycznia premier Donald Tusk.

Czytaj więcej

Premier Donald Tusk podczas konferencji prasowej w siedzibie Kancelarii Prezesa Rady Ministrów
Energetyka Zawodowa
Tusk: Mimo ataków cybernetycznych na energetykę Polsce nie groził blackout

Premier wyjaśnił, że były to ataki na dwie elektrociepłownie. – Ataki miały utrudnić zarządzanie energią z OZE (…). Nie były to ataki przesadnie masywne, mogły zakłócić funkcjonowanie prac farm wiatrowych, ale ich charakter był lokalny. Okazało się, że systemy, które mamy w Polsce, są skuteczne. Ataki nie doprowadziły do żadnych negatywnych konsekwencji. Polski system energetyczny jest bezpieczny przed tego typu ingerencjami i atakami. Wiele dowodów wskazuje na to, że ataki były przygotowane i związane wprost z rosyjskimi służbami. Dowodów twardych raczej się nigdy nie zdobędzie, ale źródło wydaje się dość oczywiste – powiedział premier, dodając, że są powody, aby sądzić, że ataki były szykowane od wielu tygodni. – Gdyby atak się powiódł, to nawet 500 tys. osób byłoby pozbawione ciepła – powiedział.

Nieco więcej na ten temat powiedział kilka dni wcześniej minister energii Miłosz Motyka. Powiedział on, że doszło do próby zakłócenia komunikacji między instalacjami wytwórczymi a operatorami sieci. Obiektem ataku były elektrociepłownie oraz wiele pojedynczych źródeł OZE w całym kraju.

Reklama
Reklama

Do kolejnego ataku miało dojść w nocy 10 stycznia, ale nie miało to wpływu na dostarczanie ogrzewania i ciepłej wody mieszkańcom na Mazurach. Prokuratura Okręgowa w Olsztynie wszczęła śledztwo w sprawie ataku hakerskiego na ciepłownię w Rucianem-Nidzie w woj. warmińsko-mazurskim. Nie dalej jak 19 stycznia doszło do – jak się okazało – następnego, niegroźnego ataku na stronę Polskich Sieci Elektroenergetycznych, która w godzinach wieczornych działała z kłopotami. Operator wykrył atak DDoS na stronę.

Jak informuje nas Ministerstwo Cyfryzacji, krajowe instytucje odpowiedzialne za cyberbezpieczeństwo działają w trybie ciągłym w ramach Połączonego Centrum Operacyjnego Cyberbezpieczeństwa. – Pełnomocnik Rządu ds. Cyberbezpieczeństwa na bieżąco nadzoruje działania służb i właściwych zespołów CSIRT (Computer Security Incident Response Team, zespół reagowania na incydenty bezpieczeństwa komputerowego – red.) mające na celu mitygację skutków, aktywne przeciwdziałanie oraz pełną obsługę pojawiających się incydentów – ze szczególnym uwzględnieniem tych zdarzeń, które mogą mieć bezpośredni wpływ na bezpieczeństwo obywateli – zapewnia resort.

Co więcej, jak informuje nas Ministerstwo Cyfryzacji, liczba incydentów cyberbezpieczeństwa w ubiegłym roku gwałtownie wzrosła. Odnotowanych łącznie incydentów w 2024 r. było ponad 111,6 tys., zaś w 2025 r. już blisko 273 tys.

Czytaj więcej

Ataki hakerskie na polską energetykę. Sprawą zajmuje się prokuratura
Ciepło
Ataki hakerskie na polską energetykę. Sprawą zajmuje się prokuratura

Co więcej, 19 stycznia Pełnomocnik Rządu do spraw Cyberbezpieczeństwa (jest nim wicepremier, minister cyfryzacji Krzysztof Gawkowski) wydał zalecenia, które mają zapewnić odpowiedni poziom cyberbezpieczeństwa sektora energii, szczególnie w obszarze odnawialnych źródeł energii (OZE), które były także przedmiotem grudniowego ataku. Jak wskazuje w komunikacie pełnomocnik, praca farm wiatrowych i fotowoltaicznych jest monitorowana i sterowana przez rozwiązania automatyki przemysłowej. Z powodu rozproszenia geograficznego urządzenia zainstalowane na tego typu obiektach umożliwiają zdalne zarządzanie parametrami pracy, diagnostykę, planowanie serwisu i reagowanie na zdarzenia – często z centralnych dyspozytorni lub przez zewnętrznych dostawców utrzymania. – Mimo że pojedynczo są to źródła o stosunkowo małych mocach, skoordynowane zakłócenie ich pracy może mieć poważne konsekwencje dla stabilności systemu elektroenergetycznego. Cyberbezpieczeństwo farm OZE ma więc znaczenie nie tylko dla pojedynczych firm będących ich właścicielami, ale również dla operatorów sieci dystrybucyjnej i systemu przesyłowego oraz dla obywateli – podkreśla pełnomocnik. 

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

Energetyka Energetyka zawodowa cyberataki
OZE z rekordem w Europie. W cieniu zielonej energii rośnie rachunek za gaz
Energetyka Zawodowa
OZE z rekordem w Europie. W cieniu zielonej energii rośnie rachunek za gaz
Na duńskiej wyspie Bornholm doszło do przerw w dostawach energii po tym jak doszło do awarii podmors
Energetyka Zawodowa
Znów problemy z kablami energetycznymi na Bałtyku. Bornholm bez prądu
Nowo uformowane miedziane arkusze katodowe w magazynie huty miedzi KGHM Polska Miedź SA w Głogowie
Energetyka Zawodowa
Nowi członkowie rady nadzorczej KGHM. Jest wśród nich były minister w rządzie Tuska
Kijów
Energetyka Zawodowa
Ciepło z Polski dla Kijowa. Firmy energetyczne dołączają do pomocy
Premier Donald Tusk podczas konferencji prasowej w siedzibie Kancelarii Prezesa Rady Ministrów
Energetyka Zawodowa
Tusk: Mimo ataków cybernetycznych na energetykę Polsce nie groził blackout
Wyprzedaż w salonach Jeep®! Tylko teraz Jeep Avenger z korzyścią do 30 000 zł!
Materiał Promocyjny
Wyprzedaż w salonach Jeep®! Tylko teraz Jeep Avenger z korzyścią do 30 000 zł!
Advertisement
Reklama
Reklama
e-Wydanie
REKLAMA: automatycznie wyświetlimy artykuł za 15 sekund.
Reklama
Reklama