Jelentés a Lengyel energiaszektor koordinált támadásáról
A lengyel CERT Polska jelentése a 2025. december 29-én bekövetkezett, kritikus infrastruktúrákat célzó, koordinált kibertámadások technikai elemzését ismerteti, amelyek a lengyel energiaágazat több szereplőjét érintették. A támadássorozat 30-nál is több szélerőművet és napelemfarmot, egy nagy kombinált hő- és villamosenergia-erőművet és egy ipari vállalatot vett célba, miközben a támadások pusztító jellegűek voltak, hasonlóan a gyújtogatáshoz.
A támadások során a fenyegető fél elsősorban az energiatermelést és annak kommunikációs infrastruktúráját próbálta kihasználni, a zavarás miatt több megújuló erőmű elvesztette a kapcsolatot az elosztórendszer-üzemeltetőkkel, bár ez végül nem eredményezett azonnali áram- vagy hőellátási kimaradást. Az energiaellátás üzletmenet folytonossága egyébként nem forgott veszélyben, de a támadás jelzi, hogy egy ilyen kampány komoly károkat és működési zavarokat okozhatott volna, különösen a téli időszak kritikus időszakában.
A jelentés ismerteti, hogyan jutottak be az ellátási pontok belső hálózatába, a támadók hálózaton belüli felderítést végeztek, majd egy egyedi wiper szoftvert telepítettek a célzott eszközökre, amely képes volt firmware-ek károsítására, rendszerfájlok törlésére és vezérlők működésképtelenné tételére. Ezek az akciók érintették mind az IT rendszereket, mind az OT-réteget, az ipari vezérlőrendszereket.
A hő- és villamosenergia-erőmű ellen irányuló támadást megelőzően a támadók hosszabb ideig tartó behatolást és adatszivárgást hajtottak végre, amely során privilégiumokat szereztek és laterális mozgással tovább terjeszkedtek a hálózaton belül, az erőfeszítéseik ellenére azonban az ott telepített biztonsági megoldások blokkolták a rosszindulatú szoftver futását.
A CERT Polska attribúciója szerint az incidens mögött olyan fenyegető szereplő állhat, amelyet a kiberbiztonsági közösség több néven, például Static Tundra, Berserk Bear vagy Dragonfly azonosít, és amely korábban is érdekelt volt energetikai infrastruktúrák elleni tevékenységekben, de ez az első alkalom, hogy ilyen nyíltan pusztító jellegű akciót kötnek hozzájuk.
A lengyel kormány és biztonsági szervek részéről ezt az incidenst különösen súlyosnak tekintik, mert a célpontok között voltak olyan rendszerek, amelyek közvetlenül az áram- és hőellátást biztosítják, és amelyek elleni támadások komoly társadalmi és gazdasági zavart okozhattak volna. A jelentés ezért nemcsak a támadás részleteit ismerteti, hanem felhívja a figyelmet arra, hogy a kritikus energiaellátó rendszerek kiszolgáltatottsága és az OT környezetek biztonsági gyengeségei milyen mértékben válhatnak állami támogatású kibercselekmények célpontjává Európában is.
