TL;DR: Największy udokumentowany cyberatak na polską infrastrukturę energetyczną ujawnił poważne braki w podstawowych praktykach cyberbezpieczeństwa – mimo obecności narzędzi ochronnych atak trwał miesiącami bez reakcji. Incydent składał się prawdopodobnie z dwóch etapów: pierwszego związanego ze zdobyciem i możliwą sprzedażą dostępu (Initial Access Broker) oraz drugiego, destrukcyjnego ataku przypominającego operacje ransomware pod względem technik i taktyk. Kluczowy wniosek: największym problemem nie był poziom zaawansowania atakujących, lecz brak monitoringu SOC, reakcji na alerty i dojrzałych procesów bezpieczeństwa – co rodzi pytania o realny poziom ochrony infrastruktury krytycznej w Polsce.

W grudniu 2025 wyszło na jaw, że Polska stała się celem skoordynowanej, destrukcyjnej kampanii cybernetycznej wymierzonej bezpośrednio w infrastrukturę krytyczną – obejmującą odnawialne źródła energii, podmiot przemysłowy oraz dużą elektrociepłownię, obsługującą około pół miliona mieszkańców. To największy udokumentowany incydent tego typu w Polsce.

Atak nastąpił w szczególnie wrażliwym momencie – podczas silnych mrozów i zamieci śnieżnych, tuż przed Nowym Rokiem. Choć nie doprowadził do przerw w dostawach prądu czy ciepła, zakłócenia komunikacji i próby sabotażu urządzeń OT pokazały, jak realne jest dziś ryzyko cyberataków wymierzonych w systemy sterowania przemysłowego oraz na jak bardzo niskim poziomie są zabezpieczenia infrastruktury krytycznej w naszym kraju.

Raport CERT dotyczący ataku na polską elektrociepłownię dostarcza cennego materiału do analizy. Poniżej dzielę się spostrzeżeniami, które wykraczają poza ramy samego raportu, bo właśnie tam zaczyna się najciekawsza dyskusja.

Pierwszy atak: marzec–lipiec 2025

Początkowy dostęp do środowiska przebiegał przez SSL/VPN FortiGate i stację przesiadkową. W raporcie nie wskazano źródłowych adresów IP ani szczegółów dotyczących połączeń VPN – co pozwala przypuszczać, że logi z systemu FortiGate z tamtego okresu po prostu się nie zachowały. Analizę prowadzono głównie na podstawie zdarzeń z kontrolera domeny oraz systemu EDR.

W środowisku funkcjonował EDR firmy ESET, który nie przechowuje długoterminowo pełnej telemetrii z hostów. Można zatem wnioskować, że analiza opierała się przede wszystkim na danych zawartych w alertach. To z kolei rodzi niepokojące pytanie: system sygnalizował podejrzane aktywności, ale alerty najwyraźniej nie spotkały się z adekwatną reakcją.

Profil atakującego: Initial Access Broker?

Charakterystyka opisanych działań przywodzi na myśl taktyki typowe dla IAB (Initial Access Broker). Aktor prowadził rozpoznanie, po czym przerwał aktywność po zdobyciu informacji, które wydają się wystarczające do odsprzedaży uzyskanego dostępu. Taki łańcuch zdarzeń jest charakterystyczny dla ekosystemu ransomware: IAB zdobywa przyczółek, a następnie monetyzuje go, przekazując go dalej.

Techniki i taktyki opisane w raporcie są typowe dla ataków na organizacje słabo przygotowane do odpierania cyberataków. Grupy ransomware działają oportunistycznie i najchętniej uderzają w środowiska, które nie są monitorowane ani wyposażone w zaawansowane systemy obronne. Aktor dość swobodnie podchodził do kwestii pozostawania pod radarem i zacierania śladów, co wiele mówi o poziomie zabezpieczeń elektrociepłowni.

Wektor początkowy – hipotezy

Nie wiemy, w jaki sposób aktor uzyskał początkowy dostęp. Najczęściej w tego typu przypadkach mamy do czynienia z jednym z czterech scenariuszy:

• wykorzystanie podatności lub błędu konfiguracyjnego w urządzeniu brzegowym,

• uzyskanie danych dostępowych w wyniku infekcji infostealera,

• wyłudzenie poświadczeń – na przykład w drodze phishingu,

• atak słownikowy lub brute force na bramkę VPN (co jest szczególnie prawdopodobne wobec braku 2FA).

Wnioski z pierwszego ataku

W środowisku brakowało podstawowych, dobrych praktyk zabezpieczenia powierzchni ataku: urządzenia brzegowe nie były aktualizowane, a uwierzytelnianie dwuskładnikowe nie było wdrożone. Środowisko nie było monitorowane przez zespół SOC. Na alerty systemu EDR nikt nie reagował.

Drugi atak: koniec 2025

Druga fala aktywności ponownie objęła rekonesans i eskalację uprawnień – w tym zrzuty pamięci procesu LSASS i bazy danych Active Directory. Z raportu nie wynikają bezpośrednie powiązania między aktywnościami z początku i końca roku, co pozwala wnioskować, że działania prowadzili różni aktorzy. Biorąc pod uwagę typowy łańcuch dostaw w ekosystemie cyberprzestępczym, można przypuszczać, że aktor z pierwszego etapu (IAB) użyczył lub sprzedał dostęp drugiemu podmiotowi. Równie prawdopodobny jest jednak całkowity brak związku między obiema aktywnościami.

Klasyczny atak w stylu ransomware

Opis działań obejmujących rekonesans, eskalację uprawnień i lateral movement w środowisku IT elektrociepłowni do złudzenia przypomina operację grupy ransomware. Narzędzia, techniki i taktyki – Advanced IP Scanner, Advanced Port Scanner, Impacket, tunel Reverse SOCKS Proxy, typowe wykorzystanie LoLBins – znajdziemy w większości relacji z ataków ransomware. Atak prowadzono w sposób brutalnie hałaśliwy i relatywnie prymitywny. Tak postępują grupy ransomware lub podmioty działające w ekosystemie RaaS, atakując łatwe, niechronione cele. W tego rodzaju atakach liczy się przede wszystkim wydajność i zysk.

Ponadto w części raportu dotyczącej drugiej aktywności ponownie widzimy alerty EDR, na które nikt nie zareagował.

Faza destrukcyjna – zaskakujące detale

System EDR wykrył i automatycznie zablokował próby uszkodzenia danych. Zadziałał typowy dla rozwiązań klasy EDR mechanizm plików-kanarków. Interesujący jest jednak wybór czasu: destrukcyjną fazę rozpoczęto w dzień roboczy, w godzinach porannych. Zwykle tego typu działań można się spodziewać raczej nocą lub w dniu wolnym od pracy. To sugeruje, że aktorzy nie obawiali się wykrycia.

Pierwszą próbę podjęto rano, a drugą po południu. Oznacza to, że poranna próba, która wygenerowała alerty na stu hostach, nie została zauważona. Druga próba prawdopodobnie również nie spotkała się z reakcją. Czy dopiero nadpisanie dysków serwerów przez KVM zwróciło uwagę osób odpowiedzialnych za bezpieczeństwo?

Dlaczego nie wyłączono EDR-a?

Zastanawiające jest, dlaczego aktorzy – dysponujący swobodnym dostępem do systemów, włącznie z kontrolerem domeny, oraz kontrolą nad infrastrukturą IT na poziomie administratora domeny – nie podjęli próby dezaktywacji systemu EDR. To rażący błąd, który może wskazywać na brak kompetencji lub niedostateczne przygotowanie ostatniej fazy ataku. Z drugiej strony uruchomienie dystrybucji Linuksa przez KVM świadczy o tym, że aktorzy uparcie dążyli do celu, szukając alternatywnych ścieżek.

Szersza perspektywa

Jak w przypadku każdego poważnego incydentu, pozostajemy z pytaniami, na które nie uzyskamy pełnych odpowiedzi. Zespół CERT wykonał solidną robotę, dokładnie odtwarzając przebieg zdarzeń, a otwartość, z jaką opisano atak, zasługuje na uznanie. CERT słusznie skupił się na analizie technicznej i nie posunął się do wyciągania dalekosiężnych wniosków. Warto jednak, aby społeczność cyberbezpieczeństwa podjęła dyskusję w zakresie wykraczającym poza ramy samego raportu.

Kwestie, które powinny niepokoić:

• brak elementarnych dobrych praktyk cyberbezpieczeństwa w dużej elektrociepłowni, stanowiącej element polskiej infrastruktury krytycznej,

• brak monitoringu systemów bezpieczeństwa,

• brak reakcji na ordynarne i hałaśliwe działania atakujących,

• niski poziom zaawansowania i kompetencji samych aktorów – co paradoksalnie stanowi dodatkowy powód do niepokoju.

Sektor produkcyjny – jeszcze gorzej?

Prawdopodobnie jeszcze gorzej wyglądała sytuacja w przypadku opisanego w raporcie przedsiębiorstwa sektora produkcyjnego. Atak również nie został wykryty – w tym przypadku raport nie wspomina nawet o obecności systemu EDR. Nie mamy informacji o ramach czasowych incydentu ani o jakichkolwiek działaniach obronnych, nawet w końcowej fazie. Aktorzy zinfi­ltrowali środowisko i prawdopodobnie dokonali działań destrukcyjnych, nie napotykając żadnego oporu. Atak miał charakter oportunistyczny.

Raport ESET – czy można mówić o sukcesie?

Na uwagę zasługuje raport firmy ESET dotyczący tego samego zdarzenia. Zawiera on niespotykaną deklarację: producent wprost ujawnia, że to jego system był wdrożony w elektrociepłowni i to właśnie ten system powstrzymał atak. Czy można jednak mówić tutaj o sukcesie?

Chodzi bowiem o powstrzymanie ostatniej fazy ataku, stanowiącej zaledwie finał wielomiesięcznej aktywności. Wiemy, że system sygnalizował podejrzane zdarzenia wcześniej, ale wiemy również, że w domyślnej konfiguracji produkt ten generuje ogromną liczbę fałszywych alarmów, które mogą prowadzić do przeoczenia istotnych zdarzeń. Oczywiście niewłaściwa konfiguracja systemu i brak automatycznej reakcji na wcześniejsze alerty to okoliczności, za które ESET prawdopodobnie nie ponosi odpowiedzialności. Jednak stwierdzenie, że „system powstrzymał atak", jest ryzykowne, ponieważ może wzbudzić nieuzasadnione zaufanie do autonomicznego działania systemów EDR w organizacjach, które nie dysponują kompetentnym zespołem SOC.

Atrybucja – FSB czy GRU?

Na osobną analizę zasługuje kwestia atrybucji. CERT przypisał atak grupie związanej z rosyjskim FSB. ESET uznał, że za atakami stoją agenci GRU. Ocena CERT wydaje się mieć solidniejsze podstawy, oparte na analizie infrastruktury, podczas gdy wnioski ESET bazują głównie na analizie kodu.

Jeśli jednak odłożymy na bok IOC (Indicator of Compromise) infrastruktury i skupimy się wyłącznie na TTP zaobserwowanych w sieci elektrociepłowni, przebieg ataku jest uderzająco zbliżony do aktywności typowych grup ransomware. Oczywiście grupy ransomware kierują się pobudkami finansowymi, a ich celem nie jest destrukcja danych, dlatego bezsprzecznie nie był to atak ransomware. Ale na chwilę pomińmy cel ataku i skupmy się na technikach, taktykach i narzędziach.

Brak finezji. Brak zaawansowanych technik. Bezczelna hałaśliwość. Żadnych fałszywych flag, podatności zero-day ani ukrytych kanałów C2. Co więcej, większość ataków ransomware, z którymi miałem do czynienia, charakteryzowała się wyższym poziomem zaawansowania i lepszą dbałością o pozostanie pod radarem. Do tego dochodzi potencjalny udział IAB.

To rodzi fundamentalne pytania:

• Czy obserwujemy zmianę w podejściu aktorów sponsorowanych przez rosyjskie służby? Czy Rosja zupełnie porzuciła pozory w eskalacji swojej agresji?

• Czy to zdarzenie wskazuje na zaangażowanie rosyjskiego świata cyberprzestępczego w operacje służb – zjawisko, którego się domyślamy, ale nie jesteśmy w stanie udowodnić?

• Czy FSB, dotychczas skoncentrowane na działalności wywiadowczej, przechodzi do działań ofensywnych i destrukcyjnych?

Jeśli odpowiedzi na którekolwiek z tych pytań są twierdzące, musimy liczyć się z trudnym okresem – nie tylko w branży cyberbezpieczeństwa.

Pozostaje mieć nadzieję, że duża polska elektrociepłownia stanowi pojedynczy przykład zaniedbań, a nie regułę. Zwłaszcza, że z racji położenia i zaangażowania w pomoc Ukrainie Polska jest krajem szczególnie narażonym na cyberataki, a na terenie całego kraju obowiązuje drugi stopień alarmowy w cyberprzestrzeni (BRAVO-CRP). To jasno pokazuje, że kluczowym priorytetem na kolejne lata musi stać się nie tylko odpowiednia konfiguracja narzędzi bezpieczeństwa oraz dbanie o powierzchnię ataku, ale przede wszystkim ciągły monitoring, gotowość operacyjna i dojrzałość reagowania.