WARSZAWA, 24 stycznia 2026, 14:24 (CET)
- ESET łączy cyberataki na polską sieć energetyczną z końca grudnia z grupą Sandworm wspieraną przez Rosję, choć nie doszło do zakłóceń
- Według polskiego rządu, zaatakowano dwie elektrociepłownie oraz systemy zarządzania odnawialnymi źródłami energii
- Urzędnicy informują, że po próbie ataku opracowywane są surowsze przepisy dotyczące cyberbezpieczeństwa
Firma zajmująca się cyberbezpieczeństwem ESET wskazała hakerów powiązanych z rosyjskim wywiadem wojskowym jako prawdopodobne źródło cyberataków wymierzonych w polską sieć energetyczną pod koniec grudnia. Włamywacze próbowali uruchomić złośliwe oprogramowanie usuwające dane, znane jako DynoWiper, choć ich próba wydaje się nieudana. Ambasada Rosji w Waszyngtonie nie odpowiedziała na prośby o komentarz. 1
Odkrycie to kieruje większą uwagę na incydent, który polscy urzędnicy obecnie postrzegają jako poważne zagrożenie dla bezpieczeństwa energetycznego kraju. Uwaga przesunęła się z kradzieży danych na potencjalne zakłócenia. Rozwój ten następuje w momencie, gdy Warszawa opowiada się za surowszymi przepisami dotyczącymi cyberbezpieczeństwa infrastruktury krytycznej.
TechCrunch określił DynoWiper jako złośliwe oprogramowanie typu „wiper”, zaprojektowane do usuwania danych i unieruchamiania komputerów. 2
Premier Polski powiedział, że ataki z 29-30 grudnia dotknęły dwóch elektrociepłowni—te obiekty produkują zarówno prąd, jak i ciepło—a także były wymierzone w system zarządzający energią z odnawialnych źródeł, takich jak turbiny wiatrowe i farmy fotowoltaiczne. Donald Tusk stwierdził, że „wszystko wskazuje”, iż operację przeprowadziły grupy „bezpośrednio powiązane z rosyjskimi służbami”. 3
Tusk powiedział, że polska obrona pozostała solidna, podkreślając, że „w żadnym momencie infrastruktura krytyczna nie była zagrożona”. Potwierdził, że nakazał ministrom i służbom specjalnym pracę na pełnych obrotach i wskazał na nadchodzące działania, w tym projekt ustawy o krajowym systemie cyberbezpieczeństwa.
ESET powiązał atak z Sandworm z „umiarkowaną pewnością”, powołując się na analizę zarówno złośliwego oprogramowania, jak i metod działania atakujących. Firma zauważyła również: „Nie mamy wiedzy o jakichkolwiek skutecznych zakłóceniach w wyniku tego ataku”. DynoWiper to wiper—rodzaj złośliwego oprogramowania, które usuwa lub nadpisuje dane, czyniąc maszyny bezużytecznymi. 4
Minister energii Miłosz Motyka powiedział dziennikarzom na początku tego miesiąca, że polskie jednostki cyberobrony wykryły „najsilniejszy atak na infrastrukturę energetyczną od lat”. Naruszenie dotyczyło łączy komunikacyjnych między obiektami OZE a operatorami dystrybucji energii. 5
Robert Lipovsky, główny badacz ds. wywiadu zagrożeń w ESET, nazwał operację „bezprecedensową” dla Polski, wskazując, że wcześniejsze cyberataki nie miały na celu zakłóceń. „Przeprowadzenie zakłócającego cyberataku na polski sektor energetyczny to poważna sprawa” – powiedział dziennikarce Kim Zetter. 6
Sandworm, znany ze swoich destrukcyjnych operacji, został powiązany przez zachodnich urzędników i ekspertów z atakami na infrastrukturę energetyczną Ukrainy, w tym z awarią prądu wywołaną przez złośliwe oprogramowanie dekadę temu. To wydarzenie z końca grudnia w Polsce zwróciło uwagę właśnie z tego powodu.
Nowe polskie prawo dotyczące cyberbezpieczeństwa wprowadza surowsze zasady zarządzania ryzykiem i reagowania na incydenty zarówno dla sieci IT, jak i technologii operacyjnej — przemysłowych systemów sterowania, które obsługują elektrownie i infrastrukturę sieciową.
Atrybucja cyberataków rzadko dostarcza dowodów gotowych do przedstawienia w sądzie, a ustalenia ESET opierają się na podobieństwach w kodzie i taktykach, a nie na formalnym przyznaniu się. Śledztwo w sprawie zamierzonego zakresu szkód trwa, a polskie władze nie ujawniły, jak doszło do naruszenia — pozostawiając otwartą możliwość kolejnego ataku z użyciem innych technik.
Incydent z grudnia nie spowodował awarii prądu — przynajmniej tym razem. Pokazuje jednak, jak szybko złośliwe oprogramowanie wymazujące dane może przenieść się z systemów IT bezpośrednio do sieci energetycznej. Operatorzy energetyczni przygotowują się teraz na atak, którego naprawdę się obawiają: następny.
