Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Zhackowali infrastrukturę 30+ farm wiatrowych i fotowoltaicznych w Polsce. Pełne szczegóły cyberataku.
Atakujący dostali się do infrastruktury farm / posiadali wysokie uprawnienia, ale finalnie nie miało to wpływu na stabilność dostaw prądu w Polsce. Jak czytamy w raporcie CERT Polska (cytaty z raportu oznaczamy kursywą):
(…) z uwagi na poziom dostępów uzyskanych przez atakującego istniało ryzyko spowodowania przestoju w produkcji energii elektrycznej przez obiekt. Jednak nawet gdyby tak się stało, to według przeprowadzonych analiz ubytek sumarycznej mocy wszystkich 30 obiektów nie wpłynąłby na stabilność polskiego systemu elektroenergetycznego w omawianym okresie.
Jak atakujący dostali się do infrastruktury? Prawdopodobnie było to wykorzystanie luki w interfejsie VPN udostępnionym do Internetu (atak na urządzenie sieciowe) lub ewentualnie wykorzystanie wykradzionych danych dostępowych administratora (i brak dwuczynnikowego uwierzytelnienia). Oddajmy głos specjalistom z CERT Polska:
W każdym zaatakowanym obiekcie było obecne urządzenie Fortigate pełniące funkcję koncentratora VPN oraz Firewalla. W każdym przypadku interfejs VPN był dostępny z sieci Internet i umożliwiał logowanie na zdefiniowane w konfiguracji konta bez wieloskładnikowego uwierzytelniania.
Sieci badanych obiektów często posiadały wydzielone podsieci VLAN, ale atakujący w momencie ataku posiadał uprawnienia administratora urządzenia, co prawdopodobnie zostało użyte do pozyskania poświadczeń konta VPN, które miało uprawnienia dostępowe do wszystkich podsieci. Nawet jeśli takiego konta by nie było, to atakujący, posiadając uprawnienia administratora, mógł zmienić konfigurację urządzeń.
Czyli atakujący uzyskali uprawnienia administratora na urządzeniu Fortigate, dzięki temu mieli możliwość dostępu do wszystkich sieci wewnętrznych (osiągalnych z Fortigate).
A co było w sieci wewnętrznej? Chaos. Chaos czyli domyślne dane logowania do sterowników / urządzeń – które zostały użyte do zniszczenia oprogramowania urządzeń. Poniżej wybrane fragmenty z Raportu (wytłuszczenia od sekurak):
- Na większości zaatakowanych farm używano sterownika Hitachi RTU560 (…). Urządzenia miały domyślne poświadczenia, w tym dla konta o nazwie „Default”. Wszystkie urządzenia posiadały web interfejs dostępny z sieci GPO i przy odpowiednich uprawnieniach osiągalny z urządzenia Fortigate.
Konto to posiada uprawnienia do zmiany firmware na urządzeniu i zostało użyte do wgrania uszkodzonego firmware. Plik w formacie .ELF został zmodyfikowany tak, że w miejscu startu programu wstawione zostało 240 bajtów 0xFF. W rezultacie procesor wykonał nieprawidłową instrukcję, co spowodowało błąd i skutkowało nieskończoną pętlą restartu urządzenia. - Atakujący przeprowadził również działania destrukcyjne w obiektach, w których były
używane sterowniki firmy Mikronika. Architektura sterowników jest oparta na systemie Linux. W zaobserwowanych zdarzeniach atakujący wykorzystał domyślne poświadczenia, aby zalogować się poprzez konsolę SSH na konto z uprawnieniami root. Następnie wykonał polecenie mające na celu usunięcie wszystkich plików z systemu, co spowodowało awarię urządzenia. - W dwóch przypadkach zaobserwowano działania destrukcyjne wymierzone w sterowniki zabezpieczeń polowych Hitachi Relion 650 v1.1.
Mają one domyślnie włączoną usługę FTP, która daje dostęp do plików systemowych
urządzenia. Atakujący wykorzystał wbudowane konto z domyślnymi poświadczeniami, aby usunąć pliki niezbędne do działania urządzeń. Spowodowało to błąd, który doprowadził do wyłączenia urządzenia i uniemożliwiał jego ponowne uruchomienie. Należy podkreślić, że gdyby urządzenie zostało wdrożone zgodnie z zaleceniami producenta, to domyślne konto FTP zostałoby automatycznie zablokowane. - W wybranych przypadkach jako HMI było wykorzystywane oprogramowanie Mikronika
Syndis zainstalowane na systemie Windows 10. Maszyny posiadały domyślne hasło
ustawione podczas wdrożenia dla konta z uprawnieniami lokalnego administratora.
Atakujący wykorzystał znajomość tego konta (brak prób zgadywania hasła) do uzyskania
dostępu do maszyny z użyciem usługi zdalnego pulpitu. - Każdy z zaatakowanych obiektów korzystał z serwerów portów Moxa Nport 6xxx.
Urządzenia posiadały włączony interfejs webowy i domyślny login i hasło. Atakujący
wykorzystał te poświadczenia w celu przywrócenia urządzeń do ustawień fabrycznych,
zmiany hasła logowania oraz ustawienia adresu IP urządzenia na nieosiągalny.
Chcecie więcej relacji z chaosu? Polecam poczytanie Raportu. Atak na farmy OZE był skoordynowany z atakiem na elektrociepłownię, o którym piszemy tutaj. [Foto w miniaturce – ilustracyjne].
~ms
Pytanie: po co psuć farmy fotowoltaiczne w środku zimy, kiedy i tak ich produkcja jest znikoma? Coś ich wystraszyło, że zrobili to akurat teraz? Czy po prostu nie mieli lepszego pomysłu na wykorzystanie zdobytych dostępów? ;-)
Atak nie miał na celu wywołania natychmiastowego braku energii, lecz był aktem czystej dywersji i sabotażu infrastruktury. Wybór mroźnej zimy i okresu przednoworocznego służył wywarciu presji psychologicznej, co w połączeniu z atakiem na ciepłownię uderzało w bezpieczeństwo obywateli. Napastnicy infiltrowali systemy od wielu miesięcy, więc uderzyli w momencie pełnej gotowości technicznej, by zniszczyć sprzęt i zatrzeć ślady. Nawet przy małej produkcji, przejęcie 30 obiektów i zerwanie ich łączności z operatorami to demonstracja siły oraz zdolności do paraliżowania automatyki przemysłowej.
Dlaczego nasi wybitni informatycy, ktorzy wygrywaja swiatowe konkursy informaryczne, nie hakuja elektrocieplowni w rosji. Ponoc w moskwie -30, moze by cos dotarlo do tych radzieckich umyslow jakby im żopy odmrozilo. Europa stracila kochones.
“Europa stracila kochones”. To niestety prawda. Efekt wieloletniego dobrobytu i nieudolności rządzących. Aż się przypomina jak we Francji po zamachach panowie malowali kredkami po ulicy, a w mediach zdania w stylu “Europa musi dorosnąć do przemocy”. Najwidoczniej znowu musi.
Presja psychologiczna, przez wykazanie niekompetencji adminów/instalatorów? Czy może “łagodny” przytyk, żeby jednak przejrzeć konfigurację infrastruktury krytycznej? Przecież jedynym istotnym długofalowo efektem tego zdarzenia może być wyłącznie poprawa bezpieczeństwa innych instalacji…
Prawda ?
To jak popsuć światło (żarówki) w nocy korzystając z 0day za parę milionów
Czy to był SSL VPN?
Tak.
W środku zimy dostałeś informację o zdarzeniu, które wydarzyło się wiele miesięcy wcześniej, czyli wtedy kiedy właśnie były farmy niemal że w piku swojej produkcji
A tymczasem w raporcie 29.12.2025
Dyskutowałbym czy wtedy jest szczyt produkcji
Masz w raporcie że hakerzy mieli dostęp od marca 2025 :)
Otóż to, dostęp mieli ponad pół roku i skorzystali z niego, w momencie, kiedy awaria była niemal nieistotna. Cytując pierwsze zdanie raportu: “W dniu 29 grudnia 2025 roku w godzinach porannych oraz popołudniowych doszło do skoordynowanych ataków w polskiej cyberprzestrzeni.”
WIESZ DLACZEGO ? BO MOGLI :)
Z tym VPN-em wystawionym do Internetu to tak na poważnie? Czy rzeczywiście do tak ważnych obiektów jak energetyka administratorzy i personel dostają się przez Internet? Czy ktoś sobie robi żarty? Przecież w każdym urządzeniu informatycznym może pojawić się zero-day – i co wtedy?
zaraz, zaraz – czy ja dobrze widzę????
“W zaobserwowanych zdarzeniach atakujący wykorzystał domyślne poświadczenia, aby zalogować się poprzez konsolę SSH na konto z uprawnieniami root.”
“Każdy z zaatakowanych obiektów korzystał z serwerów portów Moxa Nport 6xxx. Urządzenia posiadały włączony interfejs webowy i domyślny login i hasło. ”
“W wybranych przypadkach jako HMI było wykorzystywane oprogramowanie Mikronika Syndis zainstalowane na systemie Windows 10. Maszyny posiadały domyślne hasło ustawione podczas wdrożenia dla konta z uprawnieniami lokalnego administratora. Atakujący wykorzystał znajomość tego konta (brak prób zgadywania hasła) do uzyskania dostępu do maszyny z użyciem usługi zdalnego pulpitu”
i co w tej kwestii mają do powiedzenia nasze trzyliterowe agencje?
kiedy raport?
czytając artykuł:
“W każdym przypadku interfejs VPN był dostępny z sieci Internet i umożliwiał logowanie na zdefiniowane w konfiguracji konta bez wieloskładnikowego uwierzytelniania.” – bardzo prawdopodobnie, że nawet SSL-VPN był uruchomiony, który już dawno powinien być wyłączony. Fortki w wersjach small business, czyli nasz też, od wersji 7.4.9 mają to wyłączone na stałe – nie da się tego włączyć bez downgrade – na tyle to jest niebezpieczne. Zwłaszcza bez MFA.
Analizując dalej – atakujący dostał się do VPN. Z jakiej racji na tak ważnym obiekcie energetycznym, z VPN idzie się dostać do VLAN zarządzania? XDDDD
Poniżej dostęp do poszczególnych sterowników – domyślne hasło – poziom root… XD od razu widać “poziom” admina. Obstawiam, że login/hasło do VPN było admin/admin123!, a PSK “qwerty” i wersja fortka mogła być daleko nie najświeższa.
Żeby nie było – nie bronię Fortka – też czasami są dobrzy i potrafią gafę popełnić, ale przynajmniej się przyznają i łatają swoje grzechy.
Warto dodać, że to, co ich ochroniło finalnie to XDR (w tym wypadku od Eseta), który rozpoznał, zablokował atak i proces działania wipera.