#certpolska

Jak Rosjanie zhackowali polski sektor energetyczny miesiąc temu? W końcówce 2025 doszło do bezprecedensowego i skoordynowanego ataku na kilkadziesiąt obiektów w strukturach polskiego sektora energetycznego. Atakującym udało się włamać do co najmniej 30 obiektów typu OZE (farmy wiatrowe i fotowoltaiczne) ale także elektrociepłowni obsługującej 500 tysięcy Polaków i do jednej z firm produkcyjnych. Wszystkie z tych obiektów próbowano unieruchomić i w wielu przypadkach atakujący osiągnęli swój cel. Kto stoi za tym atakiem (i dlaczego tym razem to naprawdę są Rosjanie)? Jak działali włamywacze? Dlaczego nie doszło do tragedii? Tego dowiecie się z niniejszego artykułu. Dlaczego piszecie o tym dopiero teraz? O atakach na polską infrastrukturę krytyczną wiadomo od miesiąca. Na przełomie roku informowali o nich politycy. Podsyłaliście nam ich wypowiedzi i oczekiwaliście komentarza. Nie komentowaliśmy tych wypowiedzi świadomie — oświadczenia polityków na temat (cyber)ataków prawie zawsze nie są rzetelne, służą celom politycznym i zazwyczaj wcale nie rozjaśniają sytuacji, a jedynie wprowadzają więcej zamieszania. Dlatego czekaliśmy na techniczne raporty i oświadczenia zaatakowanych podmiotów lub odpowiednich CSIRT-ów. W międzyczasie pojawiły się raporty dotyczące tych incydentów od firm ESET i Dragos, ale z całym szacunkiem do koleżanek i kolegów z obu tych podmiotów, widać było, że te raporty odbiegają od standardów jakościowych obu firm i są bardziej PR-owe, zamiast merytorycznie prezentować całość incydentu (jak się zresztą zaraz okaże, niektóre z wyciąganych w tych raportach wniosków okazały się błędne — jak widać nie zawsze sama telemetria vendora wystarczy, aby zrozumiał on całość ataku). Dziś sytuację uratował raport CERT Polska, który całościowo i bardzo rzetelnie opisał jak wyglądały [...] #Atak #CERTPolska #Energetyka #OSD #OZE #Rosja https://niebezpiecznik.pl/post/rosja-atak-polska-energetyka-oze-osd/

Atrybucja to rzecz trudna - tłumaczył Irek Tarnowski podczas swego wykładu na ostatnim OMH, pokazując przykłady błędnej identyfikacji sprawców konkretnych ataków. Tej właśnie wiedzy zabrakło firmom ESET i Dragos, które na podstawie szczątkowych danych powiązali grudniowe incydenty w polskiej energetyce z grupą Sandworm/Electrum. Kierunek się zgadzał - Rosja, atrybucja była jednak błędna. Według badaczy z CERT Polska, którzy wydali właśnie bardzo szczegółowy raport, za atakami stała najprawdopodobniej grupa opisywana przez Cisco jako Static Tundra, stanowiąca element zagrożenia nazywanego Berserk Bear / dawniej Energetic Bear (CrowdStrike), Ghost Blizzard (Microsoft), DYMALLOY (Dragos) czy Dragonfly (Symantec). Amerykański Departament Sprawiedliwości powiązał tę grupę z 16. Centrum Federalnej Służby Bezpieczeństwa (FSB), czyli tajną jednostką rosyjskich służb specjalnych, zajmującą się cyberszpiegostwem. Więcej w raporcie: 🇵🇱 https://cert.pl/posts/2026/01/raport-incydent-sektor-energii-2025/ 🇬🇧 https://cert.pl/en/posts/2026/01/incident-report-energy-sector-2025/ A jeśli kogoś przeraża 40 str. analitycznego "mięsa", to polecam przygotowane przez Adama streszczenie: https://zaufanatrzeciastrona.pl/post/kto-i-w-jaki-sposob-zaatakowal-w-grudniu-2025-polska-infrastrukture-energetyczna/ #cyberbezpieczenstwo #cybersecurity #certpolska