To nie była próba wyłudzenia, nie był to cyberwłam dla okupu. To był świadomy, zaplanowany sabotaż – wymierzony w infrastrukturę, od której zależy bezpieczeństwo milionów ludzi. CERT Polska opublikował szczegółowy raport dotyczący skoordynowanego cyberataku na sektor energii, do którego doszło 29 grudnia 2025 roku. Dokument nie pozostawia złudzeń: cyberprzestrzeń stała się kolejnym polem realnego konfliktu.
Co dokładnie się wydarzyło?
29 grudnia – środek zimy, niskie temperatury, okres zwiększonego zapotrzebowania na energię i ciepło. Właśnie wtedy doszło do jednoczesnych ataków na kilka kluczowych elementów polskiej infrastruktury:
co najmniej 30 farm wiatrowych i fotowoltaicznych,
dużą elektrociepłownię, dostarczającą ciepło dla blisko 0,5 mln odbiorców,
przedsiębiorstwo sektora produkcyjnego.
Ataki miały wyłącznie charakter destrukcyjny – ich celem nie były dane do sprzedaży ani okup informatyczny. Jak podkreśla CERT Polska, działania te można porównać do celowych podpaleń w świecie fizycznym.
„Zdarzenia te miały wpływ zarówno na systemy informatyczne, jak i na fizyczne urządzenia przemysłowe, co jest rzadko spotykane w dotychczas opisywanych atakach” – czytamy w raporcie CERT Polska.
Dlaczego nie doszło do blackoutów?
To jeden z kluczowych wniosków raportu. Mimo skali ataku:
nie przerwano dostaw energii elektrycznej,
system elektroenergetyczny pozostał stabilny,
operatorzy sieci zareagowali wystarczająco szybko.
Ale to nie powód do samozadowolenia. CERT jasno wskazuje, że atakujący posiadali dostęp, który mógł doprowadzić do realnych przestojów w produkcji energii. W przypadku farm OZE zerwana została komunikacja z operatorami sieci dystrybucyjnych, a urządzenia sterujące były fizycznie uszkadzane poprzez wgrywanie zmodyfikowanego firmware’u lub kasowanie systemów plików.
Innymi słowy: to się udało tylko dlatego, że ktoś zdążył zareagować.
Jak atakowano infrastrukturę?
Raport wchodzi w szczegóły techniczne – momentami bardzo brutalne w swojej prostocie:
wykorzystywano domyślne hasła i brak uwierzytelniania wieloskładnikowego,
ataki przechodziły przez urządzenia Fortigate pełniące funkcję VPN i zapór sieciowych,
niszczono sterowniki RTU, HMI i zabezpieczenia przemysłowe,
stosowano wipery – oprogramowanie zaprojektowane wyłącznie do niszczenia danych (DynoWiper, LazyWiper),
w elektrociepłowni atak poprzedzała wielomiesięczna infiltracja, kradzież poświadczeń i pełna kontrola nad domeną Active Directory.
To nie był chaos. To była operacja.
Kto za tym stoi?
CERT Polska unika politycznych deklaracji, ale warstwa techniczna mówi bardzo wiele. Analiza wskazuje na powiązania z klastrami aktywności znanymi jako:
Berserk Bear,
Dragonfly,
Ghost Blizzard,
Static Tundra.
To nazwy, które w świecie cyberbezpieczeństwa od lat łączone są z działaniami państwowymi, w szczególności z operacjami przypisywanymi Federacji Rosyjskiej.
„Na podstawie analizy technicznej można stwierdzić, że wszystkie wspomniane ataki zostały przeprowadzone przez tego samego atakującego” – podkreśla CERT Polska.
Co z tego wynika dla państwa?
Raport nie kończy się na opisie incydentu. Jest ostrzeżeniem.
Cyberbezpieczeństwo nie jest już dodatkiem do „prawdziwego” bezpieczeństwa. Jest jego integralną częścią. Ministerstwo Cyfryzacji zapowiada dalsze wzmacnianie systemów ochrony (m.in. UKSC 2.0, Strategia Cyberbezpieczeństwa, PCOC) oraz współpracę z NATO i UE.
Ale raport CERT Polska pokazuje coś jeszcze:
najsłabszym ogniwem wciąż bywa rutyna – domyślne hasła, brak MFA, zaniedbania proceduralne.
I właśnie w nie uderzył atak.
Dlaczego ten raport jest ważny?
Bo to jeden z najpoważniejszych opisanych przypadków cyberdywersji w Polsce, w którym:
celem była infrastruktura krytyczna,
doszło do fizycznych uszkodzeń systemów przemysłowych,
atak był długofalowy, skoordynowany i pozbawiony motywacji finansowej.
To nie ostrzeżenie „na przyszłość”.
To sygnał, że ta przyszłość już trwa.
Źródło:
Raport CERT Polska „Raport z incydentu w sektorze energii – 29.12.2025”
📲 Znajdziesz nas także w Google News – kliknij i obserwuj Radio DTR, aby otrzymywać nasze najnowsze informacje prosto w aplikacji!
