Reklama

Co stało się w dniu cyberataku na polską energetykę? Jest szczegółowy raport

Cyberatak na infrastrukturę energetyczną z 29 grudnia 2025 r. miał charakter destrukcyjny i został przeprowadzony przez pojedynczego sprawcę, który wykorzystał podatność konkretnego typu urządzeń – wynika z opublikowanego w piątek raportu CERT Polska.

Publikacja: 31.01.2026 17:01

Co stało się w dniu cyberataku na polską energetykę? Jest szczegółowy raport

Foto: AdobeStock

Bartłomiej Sawicki

Z tego artykułu się dowiesz:

  • Jakie były konsekwencje cyberataku na infrastrukturę energetyczną w grudniu 2025 roku?
  • Na czym polegał atak przeprowadzony na farmy wiatrowe i fotowoltaiczne w Polsce?
  • Jakie znaczenie miało wykorzystanie urządzeń Fortigate w kontekście tego cyberataku?
  • Jakie działania ochronne zostały podjęte, aby zneutralizować skutki ataku na elektrociepłownię?
  • Jakie podobieństwa infrastrukturalne powiązano z atakami na sektor energetyczny?
  • Jakie przypuszczenia dotyczące źródeł ataku wskazują na zaangażowanie grupy powiązanej z rosyjskim wywiadem?

Koniec ub. roku był okresem, w którym Polska zmagała się z niskimi temperaturami i zamieciami śnieżnymi. W raporcie czytamy, że na podstawie analizy technicznej można stwierdzić, że wszystkie ataki na polską energetykę pod koniec roku zostały przeprowadzone przez tego samego atakującego. Zdarzenia te miały wpływ zarówno na systemy informatyczne, jak i na fizyczne urządzenia przemysłowe, co jest rzadko spotykane w dotychczas opisywanych atakach.

Czytaj więcej

Premier Donald Tusk podczas konferencji prasowej w siedzibie Kancelarii Prezesa Rady Ministrów
Energetyka Zawodowa
Tusk: Mimo ataków cybernetycznych na energetykę Polsce nie groził blackout

Atak na OZE

Zgodnie z raportem, w obszarze OZE doszło do ataku na co najmniej 30 farm wiatrowych i fotowoltaicznych w Polsce. Atak miał cel destrukcyjny i spowodował zerwanie komunikacji między obiektami a operatorami sieci dystrybucyjnej (OSD), ale nie miał on wpływu na bieżącą produkcję energii elektrycznej.  Atakiem została dotknięta stacja elektroenergetyczna GPO, czyli miejsce, w którym obiekt OZE jest połączony z siecią dystrybucyjną i jej operatorem. Są to obiekty zarządzane zdalnie, bez obsady na miejscu, gdzie powszechna jest możliwość zdalnego dostępu. Z uwagi na poziom dostępów uzyskanych przez atakującego istniało ryzyko spowodowania przestoju w produkcji energii elektrycznej przez obiekt. Jednak nawet gdyby tak się stało, to według przeprowadzonych analiz ubytek sumarycznej mocy wszystkich 30 obiektów nie wpłynąłby na stabilność polskiego systemu elektroenergetycznego.

Czytaj więcej

Ataki hakerskie na polską energetykę. Sprawą zajmuje się prokuratura
Ciepło
Ataki hakerskie na polską energetykę. Sprawą zajmuje się prokuratura
Reklama
Reklama

Jak doszło do ataku?

Jak ustalił CERT Polska, w każdym zaatakowanym obiekcie było obecne urządzenie Fortigate pełniące funkcję koncentratora VPN oraz firewalla. W każdym przypadku interfejs VPN był dostępny z sieci i umożliwiał logowanie na zdefiniowane w konfiguracji konta bez wieloskładnikowego uwierzytelniania. W toku analizy ustalono, że w przeszłości niektóre z tych urządzeń w różnych okresach przez dłuższy czas były podatne, w tym na zdalne wykonanie kodu. – Z przeprowadzonego wywiadu wynika, że powszechną praktyką w branży jest wykorzystywanie tych samych kont i haseł w wielu obiektach – podkreślono w raporcie. W takiej sytuacji przejęcie nawet jednego konta mogło pozwolić na znalezienie innych urządzeń, w których było ono użyte. W wyniku ataku doszło do uszkodzenia sterowników RTU, co było bezpośrednią przyczyną zerwania komunikacji obiektu z OSD i uniemożliwienia zdalnego sterowania, jednak nie wpłynęło to bezpośrednio na bieżącą produkcję – ustalił CERT Polska. W raporcie podkreślono, że producenci sterowników potwierdzili taki przebieg ataku.

Czytaj więcej

Rynek cyberbezpieczeństwa w Polsce rośnie jak na drożdżach
Biznes
Rynek cyberbezpieczeństwa w Polsce rośnie jak na drożdżach

Atak na ciepłownie i nie tylko 

29 grudnia 2025 r. obiektem ataku stała się też duża elektrociepłownia. W tym przypadku, według CERT Polska, celem sabotażu było nieodwracalne uszkodzenie danych w sieci wewnętrznej poprzez uruchomienie oprogramowania typu viper. Sam destrukcyjny atak poprzedzony był długotrwałą infiltracją infrastruktury, kradzieżą wrażliwych informacji oraz uzyskaniem przez atakującego dostępu do uprzywilejowanych kont. Używane w zaatakowanej instytucji oprogramowanie klasy EDR rozpoznało szkodliwe działanie i zablokowało atak vipera – podkreślono w raporcie. W sieci zaatakowanego podmiotu również pracowały urządzenia Fortigate. Jeśli atak powiódłby się, bez ogrzewania mogłoby pozostać ok. 500 tys. mieszkańców. 

W raporcie wskazano także, że wcześniej, bo w okresie od marca do lipca 2025 r. w infrastrukturze zaatakowanego podmiotu zaobserwowane zostały podejrzane działania związane z rekonesansem, nieuprawnionym dostępem do danych oraz próbami pozyskania poświadczeń użytkowników.

Tego samego dnia doszło również do próby zakłócenia funkcjonowania przedsiębiorstwa z sektora produkcyjnego, także wykorzystującego urządzenia Fortigate. Działania te zostały przeprowadzone w skoordynowany sposób z atakami na przedsiębiorstwa sektora energetycznego, ale cel miał charakter oportunistyczny i nie jest powiązany z innymi podmiotami – ocenił CERT Polska.

Ślad wskazuje na Rosję 

Analiza infrastruktury wykorzystanej do ataku pozwala stwierdzić, że w znacznym stopniu pokrywa się ona z infrastrukturą używaną przez klaster aktywności znany w przestrzeni publicznej jako "Static Tundra", "Berserk Bear", "Ghost Blizzard" oraz "Dragonfly" – stwierdza się w raporcie. Publicznie dostępne opisy działań aktora wskazują na duże zainteresowanie sektorem energetyki oraz posiadanie odpowiednich zdolności do atakowania urządzeń przemysłowych, co jest zbieżne z obserwowanymi w incydencie działaniami atakującego – zauważa CERT Polska. Według ustaleń służb m.in. USA i Wielkiej Brytanii infrastruktura klastra pokrywa się z tą, używaną przez grupę powiązaną z rosyjską FSB.

Reklama
Reklama

O podobnym śladzie kilka dni temu informował ESET Research (firma zajmująca się tworzeniem oprogramowania antywirusowego). Zdaniem tej firmy za atakiem na polską infrastrukturę energetyczną stała powiązana z rosyjskim wywiadem wojskowym GRU grupa APT Sandworm. Tak wynika z analizy przeprowadzonej przez ESET, który z uwagi na charakter ataku przypisuje go (ze średnim prawdopodobieństwem) właśnie wspomnianej grupie. Warto przypomnieć, że zasłynęła ona wywołaniem blackoutu w Ukrainie w 2015 r., który pozbawił dostępu do energii ponad 200 tys. ludzi, a nieudany atak na Polskę zrealizowano dekadę później.

CERT Polska to działający w strukturach Naukowej i Akademickiej Sieci Komputerowej – Państwowego Instytutu Badawczego zespół – pierwszy powstały w Polsce zespół reagowania na incydenty cyberbezpieczeństwa.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

IT Bezpieczeństwo IT Energetyka Energetyka zawodowa Hakerzy CERT cyberbezpieczeństwo
Ślady grudniowego cyberataku na polską energetykę prowadzą do Rosji
Energetyka Zawodowa
Ślady grudniowego cyberataku na polską energetykę prowadzą do Rosji
OZE z rekordem w Europie. W cieniu zielonej energii rośnie rachunek za gaz
Energetyka Zawodowa
OZE z rekordem w Europie. W cieniu zielonej energii rośnie rachunek za gaz
Na duńskiej wyspie Bornholm doszło do przerw w dostawach energii po tym jak doszło do awarii podmors
Energetyka Zawodowa
Znów problemy z kablami energetycznymi na Bałtyku. Bornholm bez prądu
Nowo uformowane miedziane arkusze katodowe w magazynie huty miedzi KGHM Polska Miedź SA w Głogowie
Energetyka Zawodowa
Nowi członkowie rady nadzorczej KGHM. Jest wśród nich były minister w rządzie Tuska
Kijów
Energetyka Zawodowa
Ciepło z Polski dla Kijowa. Firmy energetyczne dołączają do pomocy
Wyprzedaż Rocznika 2025. Hybrydowe SUV-y Forda Puma i Kuga już od 86 900 zł
Materiał Promocyjny
Wyprzedaż Rocznika 2025. Hybrydowe SUV-y Forda Puma i Kuga już od 86 900 zł
Advertisement
Reklama
Reklama
e-Wydanie
REKLAMA: automatycznie wyświetlimy artykuł za 15 sekund.
Reklama