Кибератака на польскую энергетику: скоординированная диверсия в канун Нового года

Атаки носили чисто деструктивный характер, не предполагая требования выкупа. По мнению аналитиков, их можно сравнить с преднамеренным поджогом в физическом мире. Важно отметить, что события произошли в период аномально низких температур и снежных бурь, что потенциально усиливало их возможные последствия. Технический анализ свидетельствует, что все атаки были выполнены одной и той же группой злоумышленников.

На объектах возобновляемой энергетики целью атаки стали подстанции точек подключения к сети (Grid Connection Point, GCP). Исходным вектором атаки во всех случаях послужили межсетевые экраны FortiGate, выполнявшие также роль VPN-концентраторов. Эти устройства имели VPN-интерфейсы, открытые в интернет, и использовали аутентификацию по логину и паролю без многофакторной защиты. Более того, в отрасли часто практикуется повторное использование одних и тех же учетных данных на разных объектах. Получив административный доступ к FortiGate, злоумышленники смогли перемещаться по внутренней сети и атаковать ключевые промышленные контроллеры.

Деструктивные действия были тщательно спланированы. На большинстве объектов были атакованы контроллеры Hitachi RTU560. Злоумышленники, используя стандартные учетные записи по умолчанию, загружали в устройства поврежденную прошивку, что приводило к их переходу в циклическую перезагрузку и потере связи с оператором распределительной сети. На других объектах аналогичным образом были выведены из строя контроллеры Mikronika, устройства релейной защиты Hitachi Relion и серверы последовательных устройств Moxa NPort. При этом генерация электроэнергии на самих фермах не прекращалась, но удаленное управление и мониторинг были потеряны.

Отдельной целью стала крупная ТЭЦ, снабжающая теплом почти полмиллиона потребителей. Здесь атаке предшествовала длительная кампания по infiltrации, начавшаяся еще весной 2025 года. Используя уязвимости в периметровых устройствах FortiGate и краденые учетные данные, злоумышленники получили привилегированный доступ в домен Active Directory. Они провели масштабную разведку, уделив особое внимание системам промышленной автоматизации (SCADA), и похитили базы данных учетных записей. Кульминацией стала попытка массового уничтожения данных на более чем 100 рабочих станциях с помощью випера (wiper) под названием DynoWiper.

Это вредоносное ПО, написанное на C++, было предназначено для необратимого повреждения файлов путем их перезаписи псевдослучайными данными в нескольких местах. Распространение випера по сети осуществлялось через групповые политики (GPO). Ключевую роль в отражении этой атаки сыграла система обнаружения и реагирования на конечных точках (EDR), которая заблокировала выполнение випера, используя механизм "канареек" - специальных файлов, triggering тревогу при попытке их изменения.

На предприятии производственного сектора атака развивалась по схожему сценарию, но для уничтожения данных использовался випер LazyWiper, написанный на PowerShell. Аналитики предполагают, что этот скрипт мог быть частично сгенерирован с помощью большой языковой модели (LLM). Кроме того, злоумышленники продемонстрировали высокую адаптивность, используя украденные из локальной сети учетные данные для доступа к облачным сервисам Microsoft 365 и кражи документов, связанных с модернизацией OT-сетей.

Анализ инфраструктуры, использовавшейся для атак, указывает на возможную причастность продвинутой постоянной угрозы (APT), публично известной под именами «Static Tundra» (Cisco), «Berserk Bear» (CrowdStrike) или «Dragonfly» (Symantec). Эта группа исторически проявляла значительный интерес к энергетическому сектору. При этом деструктивные виперы DynoWiper и LazyWiper не имеют прямых и однозначных связей с известным вредоносным ПО других APT-групп, что может указывать на использование уникальных инструментов.

Инцидент в Польше наглядно демонстрирует новые опасные тренды в киберпространстве. Во-первых, это растущая конвергенция IT- и OT-атак, когда цифровое вторжение приводит к физическим последствиям в промышленных системах. Во-вторых, отказ от финансового мотива в пользу чисто деструктивных действий, нацеленных на подрыв нормального функционирования критически важных объектов. Эксперты подчеркивают, что такие атаки становятся возможными из-за типовых проблем безопасности: слабых или стандартных паролей, отсутствия многофакторной аутентификации, несвоевременного обновления ПО и излишне открытых для интернета служебных интерфейсов. Этот случай служит серьезным предупреждением для операторов критической инфраструктуры по всему миру.

IPv4

• 159.69.50.242
• 185.200.177.10
• 185.82.127.20
• 193.200.17.163
• 194.61.121.178
• 31.172.71.5
• 41.111.178.225
• 72.62.35.76
• 89.116.111.143

IPv4 Port Combinations

• 31.172.71.5:44445
• 31.172.71.5:50443
• 31.172.71.5:8008

SHA256

• 033cb31c081ff4292f82e528f5cb78a503816462daba8cc18a6c4531009602c2
• 60c70cdcb1e998bffed2e6e7298e1ab6bb3d90df04e437486c04e77c411cae4b
• 65099f306d27c8bcdd7ba3062c012d2471812ec5e06678096394b238210f0f7c
• 68192ca0fde951d973eb41a07814f402f2b46e610889224bd54583d8a332a464
• 835b0d87ed2d49899ab6f9479cddb8b4e03f5aeb2365c50a51f9088dcede68d5
• 8759e79cf3341406564635f3f08b2f333b0547c444735dba54ea6fce8539cf15
• d1389a1ff652f8ca5576f10e9fa2bf8e8398699ddfc87ddd3e26adb201242160
• f4e9a3ddb83c53f5b7717af737ab0885abd2f1b89b2c676d3441a793f65ffaee

• CERT_Polska_Energy_Sector_Incident_Report_2025.pdf