WARSZAWA, 24 stycznia 2026, 14:24 (CET)
- ESET łączy cyberataki na polską sieć energetyczną z końca grudnia z grupą Sandworm wspieraną przez Rosję, choć nie doszło do zakłóceń
- Według polskiego rządu, zaatakowano dwie elektrociepłownie oraz systemy zarządzania odnawialnymi źródłami energii
- Urzędnicy informują, że po próbie ataku opracowywane są surowsze przepisy dotyczące cyberbezpieczeństwa
Firma zajmująca się cyberbezpieczeństwem ESET wskazała hakerów powiązanych z rosyjskim wywiadem wojskowym jako prawdopodobne źródło cyberataków wymierzonych w polską sieć energetyczną pod koniec grudnia. Włamywacze próbowali uruchomić złośliwe oprogramowanie usuwające dane, znane jako DynoWiper, choć ich próba wydaje się nieudana. Ambasada Rosji w Waszyngtonie nie odpowiedziała na prośby o komentarz. (Reuters)
Odkrycie to kieruje większą uwagę na incydent, który polscy urzędnicy obecnie postrzegają jako poważne zagrożenie dla bezpieczeństwa energetycznego kraju. Uwaga przesunęła się z kradzieży danych na potencjalne zakłócenia. Rozwój ten następuje w momencie, gdy Warszawa opowiada się za surowszymi przepisami dotyczącymi cyberbezpieczeństwa infrastruktury krytycznej.
TechCrunch określił DynoWiper jako złośliwe oprogramowanie typu „wiper”, zaprojektowane do usuwania danych i unieruchamiania komputerów. (TechCrunch)
Premier Polski powiedział, że ataki z 29-30 grudnia dotknęły dwóch elektrociepłowni—te obiekty produkują zarówno prąd, jak i ciepło—a także były wymierzone w system zarządzający energią z odnawialnych źródeł, takich jak turbiny wiatrowe i farmy fotowoltaiczne. Donald Tusk stwierdził, że „wszystko wskazuje”, iż operację przeprowadziły grupy „bezpośrednio powiązane z rosyjskimi służbami”. (Gov)
Tusk powiedział, że polska obrona pozostała solidna, podkreślając, że „w żadnym momencie infrastruktura krytyczna nie była zagrożona”. Potwierdził, że nakazał ministrom i służbom specjalnym pracę na pełnych obrotach i wskazał na nadchodzące działania, w tym projekt ustawy o krajowym systemie cyberbezpieczeństwa.
ESET powiązał atak z Sandworm z „umiarkowaną pewnością”, powołując się na analizę zarówno złośliwego oprogramowania, jak i metod działania atakujących. Firma zauważyła również: „Nie mamy wiedzy o jakichkolwiek skutecznych zakłóceniach w wyniku tego ataku”. DynoWiper to wiper—rodzaj złośliwego oprogramowania, które usuwa lub nadpisuje dane, czyniąc maszyny bezużytecznymi. (We Live Security)
Minister energii Miłosz Motyka powiedział dziennikarzom na początku tego miesiąca, że polskie jednostki cyberobrony wykryły „najsilniejszy atak na infrastrukturę energetyczną od lat”. Naruszenie dotyczyło łączy komunikacyjnych między obiektami OZE a operatorami dystrybucji energii. (Reuters)
Robert Lipovsky, główny badacz ds. wywiadu zagrożeń w ESET, nazwał operację „bezprecedensową” dla Polski, wskazując, że wcześniejsze cyberataki nie miały na celu zakłóceń. „Przeprowadzenie zakłócającego cyberataku na polski sektor energetyczny to poważna sprawa” – powiedział dziennikarce Kim Zetter. (ZERO DAY)
Sandworm, znany ze swoich destrukcyjnych operacji, został powiązany przez zachodnich urzędników i ekspertów z atakami na infrastrukturę energetyczną Ukrainy, w tym z awarią prądu wywołaną przez złośliwe oprogramowanie dekadę temu. To wydarzenie z końca grudnia w Polsce zwróciło uwagę właśnie z tego powodu.
Nowe polskie prawo dotyczące cyberbezpieczeństwa wprowadza surowsze zasady zarządzania ryzykiem i reagowania na incydenty zarówno dla sieci IT, jak i technologii operacyjnej — przemysłowych systemów sterowania, które obsługują elektrownie i infrastrukturę sieciową.
Atrybucja cyberataków rzadko dostarcza dowodów gotowych do przedstawienia w sądzie, a ustalenia ESET opierają się na podobieństwach w kodzie i taktykach, a nie na formalnym przyznaniu się. Śledztwo w sprawie zamierzonego zakresu szkód trwa, a polskie władze nie ujawniły, jak doszło do naruszenia — pozostawiając otwartą możliwość kolejnego ataku z użyciem innych technik.
Incydent z grudnia nie spowodował awarii prądu — przynajmniej tym razem. Pokazuje jednak, jak szybko złośliwe oprogramowanie wymazujące dane może przenieść się z systemów IT bezpośrednio do sieci energetycznej. Operatorzy energetyczni przygotowują się teraz na atak, którego naprawdę się obawiają: następny.
