Jak wynika z raportu CERT Polska, mieliśmy do czynienia z zaplanowaną, fizyczną dywersją, celowo przeprowadzoną w momencie największego zapotrzebowania na ciepło.
Eksperci porównują te działania do „celowych podpaleń”. Celem agresora stały się kluczowe ogniwa infrastruktury krytycznej: elektrociepłownia dostarczająca ciepło do blisko pół miliona osób, ponad 30 farm OZE oraz duże przedsiębiorstwo produkcyjne.
„Cyber-podpalenia” zamiast ransomware – czysta destrukcja
Tradycyjne grupy cyberprzestępcze motywowane są zyskiem. Grudniowy incydent całkowicie przełamał ten schemat. Napastnicy nie pozostawili żadnych żądań finansowych – ich jedynym celem było trwałe unieszkodliwienie systemów i wywołanie chaosu społecznego poprzez uderzenie w systemy podtrzymujące życie w środku zimy.
Do realizacji tego zadania wykorzystano oprogramowanie typu wiper, zaprojektowane do nieodwracalnego niszczenia danych. Ta zmiana paradygmatu z „kradzieży” na „niszczenie” (sabotaż) stanowi nową, groźną rzeczywistość dla stabilności państwa.
– Wszystkie ataki miały cel wyłącznie destrukcyjny – poprzez analogię do świata fizycznego można je porównać do celowych podpaleń – czytamy we wstępie do raportu.
Grzech pierworodny – domyślne hasła i brak MFA
Mimo zaawansowania grup APT (wstępna atrybucja wskazuje na klaster „Static Tundra”, znany również jako Dragonfly/Berserk Bear), najskuteczniejszym wejściem do systemów okazały się elementarne błędy w higienie cyfrowej.
Urządzenia Fortigate umożliwiały logowanie bez uwierzytelniania wieloskładnikowego. Co gorsza, w ich konfiguracjach odnaleziono zakładki z zakodowanymi na sztywno poświadczeniami, co pozwoliło atakującym na natychmiastowe przeskoczenie do maszyn przesiadkowych bez znajomości haseł domenowych.
Infiltracja „w białych rękawiczkach” – miesiące cierpliwego rekonesansu
Atak z 29 grudnia był jedynie finałem operacji trwającej od marca 2025 roku. Atakujący stosowali technikę „living off the land”, używając standardowych narzędzi systemowych, aby zmylić systemy EDR/SIEM.
Jak doszło do „podpalenia”?
Wyjątkowym aspektem ataku było bezpośrednie uderzenie w firmware urządzeń automatyki przemysłowej, co miało na celu maksymalne wydłużenie czasu przywracania sprawności sieci.
Atakujący zmodyfikowali pliki binarne, co spowodowało to, że procesor po restarcie próbował wykonać nieprawidłową instrukcję. W następstwie, sterowniki zostały wprowadzone w nieskończoną pętlę restartów.
Serwery portów szeregowych przywrócono do ustawień fabrycznych, zmieniając ich adresy IP oraz zmieniając hasła administracyjne. Była to celowa taktyka „opóźnij i sfrustruj”, mająca uniemożliwić technikom szybki zdalny dostęp do obiektów. Efekt?
Odcięto zdalną kontrolę nad 30 farmami OZE. Choć produkcja energii nie została przerwana, operatorzy stracili kontrolę nad rozproszoną infrastrukturą.
LazyWiper i sztuczna inteligencja – kod pisany przez LLM?
Analiza kodu w sektorze produkcyjnym dostarczyła dowodów na użycie modeli AI do jego stworzenia. Choć algorytm nadpisywania częściowego miał być szybki, oprogramowanie działało paradoksalnie wolno. W kodzie odnaleziono „pozbawione sensu komentarze” oraz strukturę typową dla generatorów tekstu, co sugeruje drastyczne obniżenie progu wejścia dla tworzenia destrukcyjnego malware.
Ku przyszłości pełnej cyfrowych dywersji
Grudniowy atak to sygnał ostrzegawczy o najwyższym priorytecie. Mechanizm „kanarków” (ukrytych plików monitorowanych pod kątem zmian) pozwolił na skuteczne zatrzymanie wipera na ponad 100 maszynach, na których proces niszczenia już się rozpoczął, ale nie został ukończony.
Cały raport możesz przeczytać poniżej:
