Cyberatak na polską energetykę: anatomia incydentu i lekcje dla sektora IT/OT

Pod koniec grudnia 2025 polska infrastruktura energetyczna stała się celem skoordynowanego cyberataku z użyciem złośliwego oprogramowania typu wiper. Nie doprowadził on do przerwania dostaw energii ani blackoutu. 

Polska strona rządowa potwierdziła, że obrona zakończyła się sukcesem. Mimo to incydent skłania do refleksji nad utrzymaniem skuteczność obrony w przyszłości i zabezpieczeniem się przed podobnymi zagrożeniami, nie tylko w krytycznych sektorach gospodarki.

Ktoś próbował wyłączyć nam światło, czyli co się właściwie wydarzyło?

Cyberatak nastąpił 29 grudnia 2025 roku. Skierowany był na liczne farmy wiatrowe i fotowoltaiczne, spółkę prywatną z sektora produkcyjnego oraz w elektrociepłownię dostarczającą ciepło dla prawie pół miliona odbiorców w Polsce. Według rządowych komunikatów jego celem było zakłócenie pracy tych systemów i destabilizacja ich działania. Plan jednak został udaremniony.

Był to pierwszy tak duży i skoordynowany atak na rozproszone zasoby energetyczne w naszym kraju. CERT Polska właśnie zakończył swoje dochodzenie w tej sprawie i opublikował szczegółowy raport. Poniżej podsumowujemy najważniejsze informacje na temat incydentu.

Cichy sabotaż w wykonaniu wiperów

W ataku wykorzystano złośliwe oprogramowanie typu wiper, które trwale niszczy dane i kod systemowy. Tym razem były to nowe warianty: DynoWiper (wykrywany jako Win32/KillFiles.NMO) oraz LazyWiper.

W przeciwieństwie do ransomware, którego celem jest wymuszenie okupu, wipery nie zostawiają miejsca na negocjacje. Ich podstawową funkcją jest destrukcja i trwałe uszkodzenie urządzeń, których nie można przywrócić do działania zdalnie. 

W środowisku IT oznacza to trwałą utratę danych na serwerach i stacjach roboczych. W środowiskach OT, gdzie zarządza się fizycznymi procesami, skutki mogą być jeszcze poważniejsze. Usunięcie danych konfiguracyjnych lub monitorujących może zablokować zdalną kontrolę nad urządzeniami, uniemożliwić szybkie przywracanie działania i podważyć zaufanie operatorów do danych produkcyjnych. To z kolei prowadzi do błędnych decyzji i trudności w zarządzaniu całością systemu. 

W systemach OT odzyskiwanie środowiska jest znacznie bardziej złożone niż w IT. Wymaga synchronizacji z procesami przemysłowymi i przestrzegania zasad bezpieczeństwa sprzętu.

Grudniowe ataki na polską infrastrukturę energetyczną (OZE) to moment zwrotny, który musimy właściwie odczytać. Atakujący używając malware’u DynoWiper, nie szukali zarobku, lecz paraliżu. Celem nie było zaszyfrowanie danych dla okupu, ale fizyczne trwałe uszkodzenie programowe terminali RTU i systemów sterowania.

Dla administratorów i CSO to sygnał alarmowy: w starciu z wiperem negocjacje nie istnieją. Nie ma klucza deszyfrującego, o który można by walczyć. Jedyną linią obrony staje się Disaster Recovery.

Łukasz Nowatkowski / Cybersecurity Advocate Xopero Software

Kto za tym stoi?

Premier Donald Tusk dyplomatycznie zasugerował, że za atakiem mogą stać “ludzie związani z obcym mocarstwem”. Eksperci ESET byli bardziej konkretni:

Na podstawie analizy złośliwego oprogramowania oraz powiązanych z nim taktyk, technik i procedur TTP (Tactics, Techniques, Procedures), z umiarkowaną pewnością przypisujemy ten atak powiązanej z Rosją grupie Sandworm (Unit 74455). Wynika to ze znacznej zbieżności z wieloma wcześniejszymi działaniami tej grupy, w których również wykorzystano wipery.

Z kolei firma Dragos, uczestnicząca w obsłudze jednego z incydentów, z “umiarkowaną pewnością” przypisywała odpowiedzialność grupie ELECTRUM, technicznie i operacyjnie bardzo podobnej do Sandworm. 

Warto też dodać, że incydent miał miejsce w 10. rocznicę cyberataku Sandworm na ukraińską sieć energetyczną z wykorzystaniem malware o nazwie BlackEnergy. Był to pierwszy publicznie potwierdzony udany cyberatak na sieć energetyczną. Pozbawił na kilka godzin dostępu do prądu około 225 000 osób.

CERT Polska w swoim raporcie oficjalnie poinformował, że infrastruktura sieciowa (serwery, VPN) wskazuje na grupę Dragonfly / Berserk Bear (znaną jako „Static Tundra”). Choć DynoWiper ma pewne cechy narzędzi Sandworma, CERT Polska nie przypisuje tego ataku jednoznacznie Sandwormowi, wskazując raczej na infrastrukturę Dragonfly.

To bolesna lekcja, że w cyberbezpieczeństwie “jakoś to będzie” już nie działa. Raport CERT Polska pokazuje, że nie mieliśmy do czynienia z magicznym atakiem 0-day, ale z wykorzystaniem karygodnego zaniedbania – braku MFA na bramkach VPN. Grupa powiązana z infrastrukturą Dragonfly nie musiała wyważać drzwi, bo weszła przez otwarte okno prosto do systemów sterowania na farmach OZE.

Skuteczne użycie wipera na tym sprzęcie to coś więcej niż awaria IT – to paraliż logistyczny. W środku zimy, przy zawiejach śnieżnych, incydent cyfrowy zmusił techników do fizycznej wyprawy do każdego ośnieżonego kontenera z laptopem i kablem serwisowym, by ręcznie 'odceglić’ urządzenia. Tego nie naprawisz kliknięciem z ciepłego biura. To dowód na to, że backup offline i MFA to nie opcja, a konieczność.

– dodaje Łukasz Nowatkowski

Nowy cel – rozproszona energetyka

W odróżnieniu od ukraińskiego przypadku, gdzie uderzono głównie w centra kontroli dystrybucji i podstacje przesyłowe, tym razem napastnicy skupili się na rozproszonych końcówkach sieci. Celem były zdalne terminale RTU (Remote Terminal Unit) i systemy komunikacyjne zarządzające mniejszymi obiektami wytwarzającymi energię (OZE). 

Według analizy Dragos, atakujący uzyskali dostęp do systemów zapewniających widoczność operacyjną, a w niektórych przypadkach również możliwość zdalnego sterowania. Dotknięte zostały m.in. terminale zarządzające, urządzenia sieciowe wspierające telemetrię oraz infrastruktura łącząca obiekty z centrami kontroli.

Wnioski na przyszłość – 7 działań, które warto wdrożyć już dziś

Brak poważnych szkód nie powinien usypiać naszej czujności. Ten incydent warto potraktować jako test warunków brzegowych i impuls do działań skoncentrowanych na trzech priorytetach odporności operacyjnej: ograniczeniu zasięgu, skróceniu czasu wykrycia i zapewnieniu skutecznego odtwarzania.

1. Stosuj niemodyfikowalne kopie danych (immutable backup) i repozytoria odseparowane od środowisk produkcyjnych.
2. Kieruj się zasadą 3-2-1-1-0: 3 kopie danych, 2 różne nośniki, 1 kopia w innej lokalizacji, 1 kopia odłączona od sieci (Air Gap), 0 błędów w testach odtwarzania.
3. Regularnie testuj odzyskiwanie danych w IT i OT, symulując także scenariusze destrukcyjne.
4. Oddziel konta backupowe od administracyjnych, stosuj MFA i zasadę minimalnych uprawnień.
5. Monitoruj masowe operacje usuwania lub nadpisywania plików oraz nietypowe logowania.
6. Segmentuj sieć OT, by ograniczyć rozprzestrzenianie się malware poza obszary krytyczne.
7. Opracuj i przetestuj scenariusze postępowania na wypadek incydentów, z naciskiem na te dotyczące zagrożeń typu wiper oraz współpracę zespołów IT i OT.

 Jeśli chcesz zobaczyć, jak wygląda odporny backup w praktyce, warto się przyjrzeć przykładom z regionu. W naszym case study opisujemy, jak czeska grupa CEZ wdrożyła technologie Bare Metal Restore i Flexible Drive Restore do ochrony danych na wypadek ataków sabotażowych.

Co dalej?

Grudniowy incydent pokazuje, że ataki typu wiper na IT i OT są realnym zagrożeniem i to nie tylko dla sektora energetycznego w Polsce. Wpisuje się to w szerszy trend rosnącej liczby cyberataków wymierzonych w nasz kraj. Według danych ESET w pierwszej połowie 2025 roku Polska zajmowała pierwsze miejsce na świecie pod względem liczby wykrytych ataków ransomware, odpowiadając za 6% wszystkich incydentów. 

Premier Donald Tusk zapowiedział, że w ramach nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa rząd wprowadzi dodatkowe zabezpieczenia, w tym bardziej rygorystyczne wymogi dotyczące zarządzania ryzykiem, ochrony systemów IT i OT oraz reagowania na incydenty.

Nie trzeba jednak czekać na ustawę, by zacząć działać. Dobrze zabezpieczona infrastruktura, regularnie testowane mechanizmy odzyskiwania i przeszkolone zespoły mogą przesądzić o tym, czy kolejny atak spali na panewce. Aby ułatwić pierwszy krok, przygotowaliśmy PDF z pytaniami wspierającymi wewnętrzny audyt systemów IT i OT, do wykorzystania samodzielnie lub jako punkt wyjścia do rozmowy z zespołem.