Cyberataki na OZE: Rola Technologii Deception
Dokument ten został stworzony na podstawie analizy incydentu, który miał miejsce w dniu 29 grudnia 2025 roku. Analiza została przeprowadzona przez zespół clev.one w oparciu o raport CERT Polska.
W dniu 29 grudnia 2025 roku cyberprzestrzeń Polski stała się areną bezprecedensowej konfrontacji, która zdefiniowała na nowo rozumienie zagrożeń dla infrastruktury krytycznej w Europie (kontekst prawny: kompendium NIS2) Środkowo-Wschodniej. Skoordynowany atak na sektory energetyki odnawialnej (więcej w raporcie cyberwojna 2025), ciepłownictwa oraz przemysłu wytwórczego stanowi materializację najgorszych scenariuszy – jednoczesnego uderzenia w systemy IT i OT w warunkach ekstremalnego obciążenia środowiskowego.
Analiza tego zdarzenia wykracza poza ramy klasycznej informatyki śledczej. Wymaga holistycznego spojrzenia, łączącego techniczną dekompozycję złośliwego oprogramowania z analizą skuteczności mechanizmów obronnych. Szczególną uwagę poświęcono przełomowej roli technologii deception, a konkretnie rozwiązaniom klasy cyfrowych pułapek (zobacz architekturę decepcji), które w krytycznym momencie ataku na elektrociepłownię zapobiegły katastrofie.
Kontekst Geopolityczny: Od szpiegostwa do destrukcji
Aby zrozumieć wagę incydentu, należy osadzić go w kontekście aktywności grupy Static Tundra (podgrupa Energetic Bear/Berserk Bear, powiązana z rosyjskim FSB Centrum 16). Od dekady prowadzi ona operacje wymierzone w sektor energetyczny NATO.
Wydarzenia z końca 2025 roku wskazują na fundamentalną zmianę doktryny: przejście od rozpoznania do destrukcji. Użycie oprogramowania typu wiper, które trwale niszczy dane, jednoznacznie klasyfikuje ten incydent jako element wojny hybrydowej.
Anatomia celów i wektory początkowego dostępu
Analiza architektury zaatakowanych podmiotów ujawnia systemowe słabości wykorzystane przez atakujących.
Sektor OZE: Systemowa podatność rozproszonej infrastruktury
Pierwszym celem była sieć co najmniej 30 farm wiatrowych i fotowoltaicznych. Zarządzanie nimi odbywa się zdalnie poprzez Główne Punkty Odbioru (GPOE).
FortiGate jako Punkt Wejścia (Initial Access Broker)
“Bramą” do sieci OT było urządzenie brzegowe FortiGate. Analiza ujawniła krytyczne zaniedbania:
- Ekspozycja Usług: Interfejsy SSL-VPN wystawione bezpośrednio do Internetu.
- Brak MFA: Konta zabezpieczone jedynie statycznymi hasłami.
- Recykling Haseł: Te same poświadczenia do wielu obiektów.
- Brak Patchowania: Podatność na błędy, w tym CVE-2018-13379.
Techniki eskalacji i persystencji
W ataku na sektor produkcyjny wykorzystano wbudowane mechanizmy skryptowe FortiOS.
| Nazwa Skryptu (Zadania) | Harmonogram | Działanie Techniczne | Cel Operacyjny Atakującego |
|---|---|---|---|
| CLI Script - Update Service | Cotygodniowo | Wykonanie komendy show system admin |
Cykliczna kradzież haseł administratorów. |
| CLI Script - Security Fabric | Cotygodniowo | Modyfikacja interfejsów i wyłączenie 2FA | Otwarcie furtek w firewallu, dezaktywacja MFA. |
| Slack Notification | Wyzwalacz | Przesłanie wyników na webhook Slacka | Eksfiltracja danych trudnym do zablokowania kanałem. |
Elektrociepłownia: Studium długotrwałej infiltracji (APT)
Operacja wymierzona w elektrociepłownię miała charakter klasycznego ataku APT, z obecnością adwersarzy od marca 2025 roku.
Rekonesans i Ruch Boczny
- Eksploracja Sieci: Użycie natywnych komend (
ping,nslookup,arp,netstat). - Wizualizacja Celów: Użycie
nircmd.exedo zrzutów ekranu stacji inżynierskich (HMI/SCADA). - RDP: Ruch boczny realizowany głównie przez RDP skradzionymi poświadczeniami.
Kradzież tożsamości i eskalacja uprawnień
- LSASS Dumping: Zrzut pamięci
lsass.exew celu ekstrakcji skrótów NTLM i biletów Kerberos. - Kradzież Bazy NTDS: Eksfiltracja
ntds.ditprzy użyciu Volume Shadow Copy. - Diamond Ticket: Użycie narzędzia Rubeus do stworzenia Diamond Ticket (modyfikacja legalnego TGT), co generuje poprawne logi w systemie.
Sabotaż w Warstwie Operacyjnej (OT)
Atak uderzył w serce sterowania stacjami GPOE – sterowniki RTU oraz infrastrukturę komunikacyjną.
Operacja zniszczenia firmware’u sterowników Hitachi RTU560
Najbardziej destrukcyjnym elementem było trwałe uszkodzenie logiczne sterowników telemechaniki Hitachi RTU560 (“uceglenie”). Atakujący wgrali zmodyfikowany firmware, wstawiając w wektor startowy sekwencję 240 bajtów 0xFF (instrukcja nieprawidłowa), powodując pętlę błędów (boot loop).
Niszczenie infrastruktury pomocniczej
- Sterowniki Mikronika: Usunięcie systemu plików z poziomu roota.
- Serwery Portów Moxa: Przywrócenie ustawień fabrycznych i zmiana IP na
127.0.0.1.
Oblężenie elektrociepłowni i rola technologii Deception
W elektrociepłowni doszło do konfrontacji zaawansowanego oprogramowania niszczącego z systemem aktywnej obrony.
DynoWiper: Narzędzie ostatecznego rozwiązania
Rankiem 29 grudnia grupa Static Tundra uruchomiła procedurę destrukcji przy użyciu DynoWipera.
- Mechanizm: Algorytm Mersenne Twister do generowania danych nadpisujących. Pomija katalogi systemowe, by utrzymać system przy życiu.
- Dystrybucja: Wykorzystanie GPO w Active Directory i
schtask.exejako droppera.
Paradygmat Deception: Jak cyfrowe pułapki zmieniły wynik starcia
Infrastruktura była chroniona systemem EDR zintegrowanym z technologią deception. Rozwiązanie to opiera się na rozmieszczeniu plików kanarkowych (przynęt), które są aktywnie monitorowane.
Neutralizacja ataku
Gdy DynoWiper natrafił na plik kanarkowy (nie odróżniając go od prawdziwych danych), próba zapisu wyzwoliła reakcję:
- Detekcja: Wykrycie nieautoryzowanej modyfikacji.
- Blokada: Natychmiastowe zabicie procesu
Source.exe. - Izolacja: Odcięcie zainfekowanych hostów od sieci.
Dzięki temu proces niszczenia został przerwany w ułamku sekundy, ograniczając straty do minimum.
LazyWiper i rola AI
W sektorze produkcyjnym użyto skryptu LazyWiper (PowerShell), prawdopodobnie wygenerowanego przez AI. Mimo prostszej konstrukcji, również on mógłby zostać zneutralizowany przez mechanizmy kanarkowe.
Analiza porównawcza i wnioski strategiczne
Raport CERT Polska wskazuje na wyższość aktywnej obrony. Technologia deception udowodniła:
- Brak False Positives: Każda interakcja to anomalia.
- Ochrona przed nieznanym: Skuteczność przeciwko 0-day.
- Szybkość reakcji: Blokada w czasie rzeczywistym.
Rekomendacje
- Implementacja Technologii Deception: Standard w ochronie infrastruktury krytycznej.
- Utwardzanie Styku IT/OT: MFA i separacja sieci.
- Monitoring Behawioralny: Wykrywanie anomalii zamiast samych sygnatur.
Aneks techniczny: Wskaźniki kompromitacji (IoC)
Tabela 1: Charakterystyka złośliwego oprogramowania
| Nazwa Pliku | Typ / Funkcja | Hash SHA256 (Przykładowy) | Opis Funkcjonalny |
|---|---|---|---|
Source.exe |
Wiper (C++) | 65099f3... |
Główny moduł niszczący DynoWiper. |
schtask.exe |
Dropper | 60c70cd... |
Legalne narzędzie Windows użyte do ataku. |
dynacom_update.exe |
Wiper (C++) | 835b0d8... |
Kopia DynoWipera z ocenzurowaną ścieżką PDB. |
KB284726.ps1 |
Wiper (PowerShell) | 033CB31... |
LazyWiper. Kod generowany przez AI. |
dynacon_update.ps1 |
Dropper | 8759e79... |
Skrypt PowerShell tworzący złośliwe GPO. |
Tabela 2: Zestawienie technik MITRE ATT&CK
| Taktyka | ID Techniki | Nazwa Techniki | Kontekst Użycia |
|---|---|---|---|
| Initial Access | T1133 | External Remote Services | VPN FortiGate bez MFA. |
| Persistence | T1098 | Account Manipulation | Tworzenie kont Default na RTU. |
| Privilege Escalation | T1558.003 | Kerberoasting | Ataki na bilety Kerberos (Diamond Ticket). |
| Credential Access | T1003.001 | LSASS Memory | Zrzut pamięci lsass.exe. |
| Impact | T1485 | Data Destruction | Trwałe nadpisywanie plików i firmware. |
*Chcesz wykrywać incydenty w czasie rzeczywistym Sprawdź jak działa technologia deception w clev.one — aktywna obrona dla systemów IT.
Chcesz chronić swoje dane?
Zapisz się na listę oczekujących i otrzymaj 2 miesiące gratis.
Zapisz się teraz