Atakujący infiltrowali infrastrukturę polskiej elektrociepłowni przez prawie rok (!) Znamy pełne szczegóły incydentu.

Jak donosi CERT Polska:

W dniu 29 grudnia 2025 roku doszło również do ataku na jedną z polskich elektrociepłowni (…) dostarczającej ciepło dla prawie pół miliona osób (…)

Destrukcyjny atak poprzedzony był długotrwałą infiltracją infrastruktury oraz kradzieżą wrażliwych informacji dotyczących działania podmiotu. W wyniku swoich działań atakujący uzyskał dostęp do uprzywilejowanych kont w domenie Active Directory, co pozwoliło mu na swobodne poruszanie się po systemach podmiotu. (…) pierwsze działania atakującego miały miejsce w okresie od marca do maja 2025 roku.

Jest to naprawdę poważny incydent w dużym obiekcie, a co więcej atak był skoordynowany z infiltracją minimum 30 farm wiatrowych / fotowoltaicznych. Ale jak atakujący w ogóle dostali się do infrastruktury IT elektrociepłowni? Tę odpowiedź przynosi analiza CERT Polska:

Korelacja zdarzeń pozwoliła ustalić, że atakujący uzyskał dostęp do jednej z maszyn przesiadkowych, gdzie odnotowane zostały logowania za pomocą protokołu pulpitu zdalnego z adresu przypisanego do jednego z interfejsów urządzenia brzegowego Fortigate. Następnie z tej maszyny atakujący łączył się do innych maszyn (w tym kontrolera domeny) z użyciem pulpitu zdalnego.

Czyli prawdopodobnym punktem wejścia było urządzenie Fortigate – przy czym naszym zdaniem możliwe są dwa główne scenariusze:

• zdalne wykorzystanie przez atakujących jednej z podatności na urządzeniu lub:
• użycie prostych lub wykradzionych danych logowania na urządzenie (konto bez sensownego 2FA)

W raporcie znajdziecie informacje o narzędziach używanych przez atakujących do rekonesansu czy poruszania się po sieci (spoiler: ogólnodostępne narzędzia takie jak Advanced Port Scanner, Impacket, Rubeus [narzędzie do ataków na Kerberos] czy narzędzie klasy reverse SOCKS proxy).

Ale wróćmy do prawdopodobnego celu atakującego – czyli destrukcji infrastruktury IT całego obiektu. Pomysł atakujących był prosty (standardowy) – po przejęciu dostępu do kontrolera domeny – na maszyny (komputery) podłączone do domeny miało być wysłane oprogramowanie typu wiper (czyli usuwające zawartość dysków z maszyn).

Przygotowanego szkodnika nie wykrył antywirus (co jest cenną radą dla adminów), natomiast już w trakcie działania złośliwego oprogramowania na ponad 100 maszynach pomogła inna technika:

Plik wykonywalny nie został wykryty przez oprogramowanie antywirusowe, natomiast jego wykonanie zostało zablokowane w trakcie działania przez oprogramowanie klasy EDR poprzez mechanizm kanarków, czyli plików, które w momencie rozpoczęcia modyfikacji ich zawartości podnoszą alarm. Spowodowało to zatrzymanie nadpisywania danych na ponad 100 maszynach, na których plik został już uruchomiony.

W raporcie znajdziecie również wykorzystane przez atakujących metody poruszania się po wewnętrznej sieci / metody eskalacji uprawnień. Np. dość zaskakujące wykorzystanie przeglądarki Microsoft Edge do kradzieży plików konfiguracyjnych z kolejnych urządzeń Fortigate:

Analiza dzienników zdarzeń znajdujących się na jednym z kontrolerów domeny ujawniła, że atakujący dokonał ponadto kradzieży plików konfiguracyjnych kilku urządzeń Fortigate funkcjonujących w zaatakowanym podmiocie. Korelacja zdarzeń powiązanych z utworzonymi w danym momencie procesami i plikami świadczy o tym, że kradzież nastąpiła przy użyciu przeglądarki Microsoft Edge uruchomionej w trybie prywatnym.

OK, ale kto stał za całym atakiem? CERT Polska wskazuje na rosyjską grupę APT (chociaż część użytych przez atakujących technik była zupełnie nowa – nie znana jako metody działania żadnej opisywanych na świecie z grup APT).

Jeszcze jedna istotna informacja na koniec – ten poważny cyberatak najpewniej nie wpłynął na generowanie ciepła przez obiekt.

PS
Wyrazy uznania dla autorów raportu CERT Polska. Rzadko czytamy materiał o tak wysokim poziomie szczegółowości oraz relacjonowaniu wszystkiego w punkt (bez niepotrzebnych nonsensów).

Garść rekomendacji na koniec:

• Aktualizuj firmware urządzeń sieciowych (dotyczy to w szczególności urządzeń sieciowych odpowiedzialnych za bezpieczeństwo – firewalli / serwerów czy koncentratorów VPN). Atakujący często wykorzystują krytyczne podatności w urządzeniach sieciowych do uzyskiwania dostępu do sieci.
• Regularnie skanuj swoją infrastrukturę IT dostępną z Internetu (pod względem podatności – możesz w tym celu realizować testy penetracyjne – wewnętrzne lub zewnętrzne)
• Nie udostępniaj interfejsów administracyjnych urządzeń do Internetu
• Zmień domyślne hasła
• Zawsze korzystaj z silnego 2FA (dwuczynnikowe uwierzytelnienie) – minimum na kontach administracyjnych
• Pamiętaj, że antywirus może Cię zawieść
• Rozważ wdrożenie rozwiązań EDR
• Utrzymuj odpowiednio odseparowany, centralny serwer logów (ułatwia ew. analizę powłamaniową)

~ms