W końcówce grudnia zeszłego roku polskie instalacje energetyczne padły ofiarą cyberataku, który wykorzystał słabe punkty w systemach zabezpieczeń operatorów odnawialnych źródeł energii i dużej elektrociepłowni – wynika z raportu CERT Polska (część NASK).
Zaatakowane zostały m.in. co najmniej trzydzieści farm wiatrowych i instalacji fotowoltaicznych, prywatna firma produkcyjna oraz rozległa elektrociepłownia obsługująca blisko pół miliona odbiorców. W niektórych przypadkach atak spowodował zerwanie łączności z operatorami sieci dystrybucyjnej, ale nie doprowadził do przerwy w produkcji energii.
💻 Co poszło nie tak?
Według CERT Polska, atakujący wykorzystali znaną lukę w urządzeniach firewall Fortigate, która była szeroko opisana w środowisku hackerskim. W wielu instalacjach OZE stosowano te same konta użytkowników i domyślne hasła producentów, co ułatwiło dostęp włamywaczom do systemów.
W przypadku elektrociepłowni włamania trwały przez kilka miesięcy – sprawcy przez ten czas penetrowali sieć i ostatecznie uruchomili złośliwe oprogramowanie typu viper, które miało na celu kasowanie danych. Działanie programu zostało jednak wykryte i zablokowane przez oprogramowanie ochronne.
CERT wskazał, że infrastruktura wykorzystana w ataku pokrywa się z metodami znanymi z działań grup cyberprzestępczych o nazwach takich jak „Static Tundra”, „Berserk Bear”, „Ghost Blizzard” czy „Dragonfly”. Niektóre służby międzynarodowe łączą te klastry aktywności z rosyjską Federalną Służbą Bezpieczeństwa, choć potwierdzenie tego bez dodatkowych dowodów jest utrudnione.
🛡️ Kluczowe wnioski
- Polskie instalacje energetyczne mają poważne luki w cyberbezpieczeństwie, wynikające m.in. z używania prostych lub domyślnych haseł.
- Atak pokazał, że nawet systemy krytyczne mogą być narażone na długotrwałe działania intruzów, jeśli brakuje skutecznych mechanizmów ochronnych.
- Wykrycie i zneutralizowanie złośliwego oprogramowania uratowało dużą elektrociepłownię przed poważniejszymi skutkami.
About the Author
