Кибератака на энергетику Польши: разбор инцидента 29 декабря
В конце декабря 2025 года объекты энергетической инфраструктуры Польши стали целью скоординированной кибератаки, ориентированной не на вымогательство, а на уничтожение данных и нарушение управления. В отчете CERT Polska подробно разобраны векторы атак, деструктивное вредоносное ПО и последствия инцидента, затронувшего как IT-, так и OT-контуры, но не приведшего к сбоям энергоснабжения.
Кибератака 29 декабря 2025 года была направлена на энергетическую инфраструктуру Польши и затронула объекты возобновляемой энергетики, теплоэлектроцентраль и одну компанию производственного сектора. Инцидент разобран в отчете Energy Sector Incident Report – 29 December, подготовленном CERT Polska (CSIRT NASK).
Атаки носили деструктивный характер и не были связаны с вымогательством: вредоносное ПО использовалось для уничтожения данных и нарушения работы систем, без требований выкупа. Операция одновременно затронула IT- и OT-контуры; устойчивость энергосистемы нарушена не была, однако уровень доступа создавал предпосылки для более серьезных последствий.
Общая картина атак: цели и последствия
Атаки 29 декабря 2025 года затронули ветровые и солнечные электростанции, теплоэлектроцентраль и одну компанию производственного сектора; в сегменте возобновляемой энергетики пострадали не менее 30 ветровых и солнечных электростанций. Целью стало нарушение работы систем и уничтожение данных — признаков вымогательства или финансовой мотивации выявлено не было, характер действий описывается как деструктивный.
На объектах возобновляемой энергетики инциденты привели к потере связи с операторами распределительных сетей без влияния на генерацию и устойчивость энергосистемы. В инфраструктуре теплоэлектроцентрали и производственной компании атаки были направлены на массовое уничтожение данных, часть деструктивных действий удалось остановить средствами защиты.
На схеме показано подключение ветровых и солнечных электростанций к энергосистеме через подстанцию подключения к сети (GCP).
GCP (Grid Connection Point) выполняет преобразование напряжения (30 кВ / 110 кВ) и является ключевой точкой дистанционного управления и мониторинга.
Через контур supervisory control осуществляется связь с оператором распределительных сетей (DSO, Distribution System Operator), а передача электроэнергии направляется в магистральную сеть.
Именно уровень GCP стал основной точкой воздействия в ходе атаки: нарушение управления и телеметрии привело к потере связи с операторами сетей без остановки генерации электроэнергии.
Источник: Energy Sector Incident Report – 29 December, CERT Polska (CSIRT NASK)
Атака на объекты возобновляемой энергетики
Наиболее массовой частью инцидента стали атаки на ветровые и солнечные электростанции. Точкой входа служили подстанции подключения к сети (GCP), обеспечивающие дистанционное управление и мониторинг; доступ получался через пограничные устройства FortiGate с открытыми из интернета VPN-интерфейсами, без многофакторной аутентификации и с повторным использованием учетных данных.
После получения административных прав начались деструктивные действия — повреждение контроллеров и вспомогательных устройств телеметрии и управления, что привело к потере связи с операторами распределительных сетей; для усложнения восстановления часть устройств была сброшена к заводским настройкам. Уровень доступа потенциально позволял вмешаться в процессы генерации, однако фактически атака ограничилась нарушением управления и мониторинга, без остановки выработки электроэнергии.
Повреждение контроллеров и HMI на уровне GCP
Деструктивные действия на объектах возобновляемой энергетики были направлены на промышленные контроллеры RTU (Remote Terminal Unit — контроллеры телеметрии и управления), терминалы управления и вспомогательные устройства на подстанциях GCP; во всех эпизодах использовались легитимные интерфейсы управления и штатные механизмы администрирования. Часть контроллеров была выведена из строя загрузкой поврежденной прошивки или удалением системных файлов, в том числе на уязвимых версиях прошивок Hitachi RTU (12.6.6.0–13.5.2.0), включая уязвимость CVE-2024-2617.
Атаки затронули и HMI-системы на базе Windows, а также оборудование Mikronika RTU, Hitachi Relion и сетевые устройства Moxa NPort: после получения удаленного доступа изменялась конфигурация ОС и запускалось вредоносное ПО для уничтожения данных. Это привело к потере удаленного управления и наблюдаемости, усложнив эксплуатацию объектов без влияния на процесс генерации электроэнергии.
Атака на теплоэлектроцентраль
Атака на крупную теплоэлектроцентраль отличалась длительной подготовкой: атакующий несколько месяцев находился в инфраструктуре, расширял доступ и собирал учетные данные. Получив привилегии в домене Active Directory, он подготовил массовое уничтожение данных в корпоративной сети и распространял вредоносное ПО через штатные механизмы администрирования, включая групповые политики.
Срабатывание средств защиты конечных точек позволило остановить часть сценариев и ограничить масштаб ущерба: EDR заблокировал распространение DynoWiper более чем на 100 рабочих станциях.
Инцидент в производственной компании
Попытка нарушения работы затронула одну компанию производственного сектора и рассматривалась как отдельный эпизод, не связанный с энергетической инфраструктурой.
Доступ был получен через пограничное устройство FortiGate, конфигурация которого ранее была скомпрометирована и находилась в открытом доступе; после входа атакующий закрепил доступ с помощью встроенных механизмов автоматизации.
Затем он получил доступ к корпоративной сети и попытался уничтожить данные в домене Active Directory с использованием PowerShell-скрипта для повреждения файлов. Признаков вымогательства или финансовой мотивации выявлено не было.
Вредоносное ПО DynoWiper и LazyWiper
В атаках использовались два инструмента — DynoWiper и LazyWiper, предназначенные для уничтожения данных и не связанные с вымогательством.
DynoWiper — Windows-исполняемый файл, повреждающий и удаляющий данные на локальных и подключенных дисках; он не использует командные серверы, не закрепляется в системе и не маскирует активность, что указывает на разовую деструктивную цель.
LazyWiper применялся при атаке на производственную компанию и реализован в виде PowerShell-скрипта для повреждения файлов; по оценке авторов отчета, часть кода могла быть сгенерирована с использованием больших языковых моделей.
Используемые техники и инструменты атакующего
В ходе атаки на всех этапах использовались штатные инструменты администрирования: вход через пограничные устройства, дальнейшее перемещение по сети с легитимными учетными записями, удаленное выполнение команд (включая RDP) и распространение вредоносного ПО через механизмы домена. Также фиксировались попытки входа в облачные сервисы по скомпрометированным учетным данным и использование прокси и туннелей для сокрытия источника атак, что помогало сохранять контроль над инфраструктурой.
Атрибуция и оценка атакующего
Анализ инфраструктуры и технических признаков показал пересечения с ранее описанным кластером, известным атаками на энергетический сектор. Использовались скомпрометированные серверы и сетевые устройства, которые уже фигурировали в других инцидентах, а характер действий совпадал с ранее наблюдавшимися кампаниями. При этом прямых доказательств, позволяющих однозначно установить конкретного исполнителя, отчет не содержит, поэтому атрибуция ограничивается техническими совпадениями без политических выводов.
Основные выводы отчета
Атаки на энергетику могут быть направлены на разрушение систем и данных, а не на вымогательство, при этом даже частичная потеря управления и мониторинга создает риски для устойчивой работы инфраструктуры.
Инцидент выявил уязвимость пограничных устройств и учетных записей, а также ограниченность формального разделения IT- и OT-контуров: использование штатных средств администрирования позволяет действовать через доверенные каналы и затрудняет обнаружение. Хотя сбои энергоснабжения зафиксированы не были, уровень доступа атакующего создавал предпосылки для более серьезных последствий при ином развитии сценария.
Читайте также
