Cyberatak na polską infrastrukturę energetyczną pod koniec 2025 r. — szczegółowa analiza, przyczyny, przebieg i wnioski

  • Home
  • Szczegóły artykułu
1 lutego 2026

Narracja zdarzeń — co naprawdę się stało?

W ostatnich dniach grudnia 2025 r. polska infrastruktura energetyczna stała się celem koordynowanego i złożonego cyberataku, który został wykryty i opisany przez CERT Polska oraz niezależne firmy zajmujące się cyberbezpieczeństwem.

Badania wykazały, że incydent miał miejsce 29 – 30 grudnia 2025 r., a atak obejmował wiele rozproszonych obiektów energetycznych w Polsce, w tym m.in.:
✅ farmy wiatrowe i fotowoltaiczne (OZE),
✅ elektrociepłownię dostarczającą ciepło dla setek tysięcy odbiorców,
✅ systemy sterowania i komunikacji przemysłowej (OT – Operational Technology).

Głównym celem atakujących było zniszczenie systemów sterowania i komunikacji, co klasyfikuje ten incydent jako cyberatak o charakterze sabotażowym i destrukcyjnym, a nie typowy ransomware czy próba wyłudzenia danych.

Jak przebiegł atak — techniczne szczegóły

Atak nie polegał na jednym prostym włamania, lecz na skoordynowanym wykorzystaniu luk i złośliwego oprogramowania:

🔹 Złośliwe oprogramowanie typu wiper

Eksperci z firmy ESET ustalili, że malware wykorzystywane w tym ataku nosiło cechy nowej klasy złośliwego oprogramowania, określanego jako DynoWiper.
To narzędzie jest zaprojektowane do nieodwracalnego kasowania danych na zaatakowanych systemach, co jest typowe dla kampanii mających na celu sabotaż, a nie finansowy zysk.

🔹 Atak na OT

Atakujący nie uderzali wyłącznie w warstwę IT (informatyczną), ale przede wszystkim w OT – systemy sterowania i automatyki przemysłowej.
Cel: zerwanie komunikacji między urządzeniami (np. farmami OZE) a operatorami sieci, blokada zdalnego nadzoru oraz próba uszkodzenia danych i logiki sterowania.

🔹 Zakres ataku

Raporty wskazują, że około 30 instalacji energetycznych było objętych naruszeniem, przy czym część systemów została celowo uśpiona lub zablokowana na poziomie komunikacji i automatyki.

Kto stoi za atakiem — wiarygodne hipotezy

Wstępna analiza i publiczne raporty wskazują na to, że atak miał charakter państwowy (state-sponsored):

🔸 Grupa Sandworm – rosyjska zaawansowana grupa APT powiązana z GRU, od lat atakująca infrastrukturę krytyczną, m.in. ukraińską sieć energetyczną w 2015 r. (BlackEnergy).
🔸 Grupa Electrum – inna rosyjsko-powiązana jednostka, która również mogła brać udział lub udostępnić narzędzia do ataku na systemy DER i sterowania.
🔸 Oficjalne raporty sugerują, że działania były powiązane z rosyjską Federalną Służbą Bezpieczeństwa (FSB) lub jednostką o podobnym charakterze.

Warto zaznaczyć, że techniki i narzędzia mają silne podobieństwa do wcześniejszych kampanii celujących w energetykę europejską i ukraińską, co daje bardziej wiarygodną podstawę przypisania ataku do rosyjskich jednostek.

Czy atak zakończył się sukcesem?

Oficjalne stanowisko polskich władz i rządowe raporty wskazują, że:

dostawy energii elektrycznej i ciepła nie zostały przerwane — groźba blackout’u została zażegnana dzięki szybkiej reakcji operatorów i systemów bezpieczeństwa.
❌ mimo obecności malware i naruszenia komunikacji, nie doszło do realnego wyłączenia krytycznych instalacji.
✔ uszkodzenia systemów na poziomie danych i automatów zostały w porę ograniczone.

Jednak raporty podkreślają, że intencje atakujących były wyraźnie sabotażowe, oparte na narzędziach wiper i destrukcyjnej logice działania — co oznacza, że jedynie dobre procedury i przygotowanie zapobiegły eskalacji incydentu do blackout’u.

Jak wykryto cyberatak i dlaczego to działało?

W Polsce incydent został wykryty dzięki połączeniu kilku mechanizmów monitoringu:

🔹 Systemy IDS/IPS i SIEM monitorujące ruch OT i IT w infrastrukturze energetycznej.
🔹 CERT Polska analizował anomalie i sygnały z różnych operatorów.
🔹 Szybka reakcja operatorów OZE i elektrociepłowni — natychmiastowa izolacja segmentów oraz blokada procesów złośliwych.

To pokazuje, jak istotne jest scalone monitorowanie infrastruktury zarówno na poziomie IT, jak i OT oraz szybka analiza anomalii.

Dlaczego takie ataki są możliwe?

Ataki na infrastrukturę energetyczną wykorzystują specyficzne słabości:

🔹 ROZPROSZONA architektura DER — farmy OZE, turbiny, instalacje PV mają rozbudowane systemy zdalnego zarządzania, czasem trudniejsze do centralnego monitorowania.
🔹 Połączenie OT z IT — brak separacji między systemami użytkowymi a sterującymi urządzeniami.
🔹 Słabe hasła i domyślne sekcje administracyjne w sprzęcie przemysłowym.
🔹 Brak segmentacji sieci i perimeter security.

To klasyczne błędy w obszarze zabezpieczeń OT i ICS (Industrial Control Systems), które nadal stanowią duże ryzyko dla infrastruktury krytycznej.

Jak się zabezpieczać na przyszłość?

🎯 Dla operatorów infrastruktury energetycznej

  • silna segmentacja sieci OT/IT,
  • wdrożenie modeli Zero Trust,
  • szyfrowanie komunikacji i protokoły uwierzytelnień,
  • audyty bezpieczeństwa i testy penetracyjne OT,
  • redundancja i plan DR (Disaster Recovery).

🔐 Dla państwa i organizacji

  • koordynowane ćwiczenia cyberobronne,
  • współpraca CERT + operatorzy + wojsko,
  • wdrażanie standardów IEC/ISA dla ICS,
  • budowa własnych zespołów IR (Incident Response).

Garść ciekawostek

  • Atak miał miejsce dokładnie 10 lat po słynnym uderzeniu w ukraińską sieć elektroenergetyczną przez Sandworm w 2015 r.
  • Malware typu DynoWiper to nowa generacja destrukcyjnych programów, podobna do tych wykorzystywanych w Ukrainie.
  • Polska ma jeden z najbardziej rozproszonych udziałów OZE w energetyce w środkowej Europie — co zwiększa powierzchnię ataku.
  • Ataki na infrastrukturę energetyczną stają się narzędziem cyber-polityki i „hybrydowej” presji państwowej.

Podsumowanie

Cyberatak z końca 2025 r. na polską infrastrukturę energetyczną to poważny sygnał, że zagrożenia wobec krytycznych systemów fizyczno-cyfrowych rosną, a granice między IT a OT coraz bardziej się zacierają.
Dzięki szybkiemu wykryciu i procedurom obronnym uniknięto blackout’u oraz paraliżu dostaw, ale skala incydentu pokazuje jasno:
👉 potrzebna jest ciągła modernizacja zabezpieczeń, segmentacja sieci, analiza ryzyka oraz ćwiczenia reakcji na incydenty.

Źródła

Przy opracowaniu artykułu wykorzystano publicznie dostępne, wiarygodne informacje i analizy pochodzące z następujących źródeł:

  1. CERT Polska (CSIRT NASK)
    • komunikaty i analizy dotyczące incydentów w sektorze energetycznym
    • informacje o wykryciu i charakterze ataku (OT / ICS)
  2. NASK
    • oficjalne stanowiska dotyczące cyberbezpieczeństwa infrastruktury krytycznej
    • kontekst krajowy i reakcje instytucji państwowych
  3. ESET
    • analiza złośliwego oprogramowania DynoWiper
    • techniczne szczegóły ataku na systemy OT i energetyczne
  4. Reuters
    • doniesienia międzynarodowe dotyczące cyberataków na infrastrukturę krytyczną w Polsce
    • wypowiedzi przedstawicieli rządu i służb
  5. BleepingComputer
    • informacje o skali ataku (ok. 30 obiektów energetycznych)
    • charakterystyka narzędzi użytych w kampanii
  6. Security Operations
    • szczegółowy opis przebiegu incydentu
    • kontekst ataku na OZE i elektrociepłownie
  7. Telepolis
    • streszczenie raportów CERT Polska
    • komentarze ekspertów ds. cyberbezpieczeństwa
  8. ENISA
    • ogólne raporty dotyczące zagrożeń dla infrastruktury krytycznej w UE
    • najlepsze praktyki ochrony OT / ICS
  9. ISA Secure
    • standardy bezpieczeństwa systemów przemysłowych
    • wytyczne dotyczące separacji IT/OT

Autor: Redakcja youITcare · YIC.AI

Wyświetleń: 2
Poprzedni Następny

Skomentuj

Dodając komentarz, wyrażasz zgodę na przetwarzanie danych osobowych (nazwa, e-mail, treść komentarza) w celu publikacji komentarza. Szczegóły znajdziesz w naszej Polityce prywatności.