Atak na infrastrukturę energetyczną w Polsce okazał się większy, niż początkowo informowano

Skoordynowany cyberatak na polską sieć energetyczną, do którego doszło pod koniec grudnia, objął znacznie więcej obiektów, niż wynikało z pierwszych komunikatów. Według analiz firm zajmujących się bezpieczeństwem przemysłowym, celem było około 30 źródeł energii w całym kraju. Mimo poważnych uszkodzeń systemów sterowania, nie doszło do przerw w dostawach prądu.

Skala i charakter ataku

Atak wymierzony był w instalacje typu DER, czyli rozproszone zasoby energetyczne, w tym elektrociepłownie, systemy dyspozycji farm wiatrowych oraz instalacje fotowoltaiczne. Choć publicznie potwierdzono co najmniej 12 dotkniętych obiektów, analitycy firmy Dragos szacują, że rzeczywista liczba sięga około 30 lokalizacji.

Napastnicy uzyskali dostęp do systemów operacyjnych i technologicznych, powodując trwałe uszkodzenia części urządzeń, określanych jako kluczowe elementy infrastruktury. Łącznie zagrożone było około 1,2 GW mocy, co odpowiada blisko 5% krajowej produkcji energii. Pomimo tego nie doszło do zakłóceń w zasilaniu dla odbiorców.

Podatności systemów i konsekwencje

Eksperci Dragos podkreślają, że brak blackoutów nie powinien być interpretowany jako oznaka niskiej szkodliwości incydentu. Wręcz przeciwnie, zdarzenie obnażyło słabości zdecentralizowanych systemów energetycznych, w których liczne punkty dostępu i błędy konfiguracyjne zwiększają powierzchnię ataku.

W raporcie zwrócono uwagę na moment przeprowadzenia operacji. Atak w środku zimy mógł mieć poważne konsekwencje dla ludności cywilnej, gdyby zakończył się odłączeniem mocy. Według analityków, wybór terminu nie był przypadkowy i miał maksymalizować potencjalne skutki.

Sprawcy i użyte narzędzia

Dragos przypisuje atak rosyjskiej grupie zagrożeń określanej jako Electrum. Wykazuje ona podobieństwa operacyjne do Sandworm, znanej także jako APT44, jednak jest traktowana jako odrębny klaster aktywności. Kilka dni wcześniej firma ESET informowała o nieudanych próbach destrukcyjnych ataków na polską sieć z użyciem złośliwego oprogramowania DynoWiper.

Techniczne kulisy operacji

Celem były systemy dyspozycyjne i komunikacyjne, zdalne jednostki telemetryczne RTU, urządzenia brzegowe sieci, systemy monitoringu oraz komputery z systemem Windows działające w obiektach energetycznych. W jednym z badanych przypadków atakujący wykazali bardzo dobrą znajomość architektury i sposobu eksploatacji tych urządzeń, powielając identyczne metody w wielu lokalizacjach.

Skutkiem było wyłączenie łączności i utrata zdalnego nadzoru, przy jednoczesnym zachowaniu ciągłości produkcji energii. Część urządzeń OT została trwale uszkodzona, a systemy Windows wyczyszczone z danych.

Sygnał ostrzegawczy

Analitycy zaznaczają, że nawet skuteczniejsze odcięcie mocy w kilku obiektach nie doprowadziłoby do ogólnokrajowego blackoutu. Mogłoby jednak wywołać niebezpieczne odchylenia częstotliwości w systemie elektroenergetycznym, prowadzące do efektu domina. Tego typu mechanizm był jedną z przyczyn poważnej awarii sieci na Półwyspie Iberyjskim w 2025 roku. Incydent w Polsce traktowany jest więc jako poważny sygnał ostrzegawczy dla całego sektora energetycznego.