Atak na polską energetykę odnawialną - grudzień 2025
Analiza ataku na ponad 30 polskich farm wiatrowych, elektrociepłownię i zakład produkcyjny w grudniu 2025. Wiper niszczący firmware RTU, atrybucja Static Tundra / Berserk Bear / Dragonfly, alert CISA z lutego 2026.
Pomorze, 14 grudnia 2025 roku, czwartek, godzina 3:17 w nocy. Dyżurny inżynier jednej z największych farm wiatrowych w północnej Polsce patrzy na ekran systemu SCADA i widzi coś, czego nie powinien widzieć. Turbiny zaczynają się zatrzymywać - jedna po drugiej, w sekwencji, której nikt nie zlecił. Próbuje wysłać komendę restartu. System nie odpowiada. Próbuje połączyć się z kontrolerem RTU (Remote Terminal Unit) na jednej z turbin. Cisza. Sięga po telefon, żeby zadzwonić do drugiego operatora, trzydzieści kilometrów dalej. Tamten widzi dokładnie to samo.
W ciągu następnych kilkudziesięciu minut scenariusz powtórzył się na ponad trzydziestu farmach wiatrowych rozsianych po całej Polsce - od Pomorza, przez Wielkopolskę, po Dolny Śląsk. Tego samego dnia przestała odpowiadać sieć sterowania w elektrociepłowni na wschodzie kraju. Następnego ranka zakład produkcyjny w centralnej Polsce odkrył, że jego systemy automatyki przemysłowej zostały sparaliżowane.
To nie była awaria. To był największy skoordynowany cyberatak na polską infrastrukturę krytyczną w historii.
Skala uderzenia
Ostateczny bilans incydentu, ustalony przez CERT Polska we współpracy z PSE (Polskie Sieci Elektroenergetyczne) i operatorami poszczególnych obiektów, objął:
- Ponad 30 farm wiatrowych na terenie pięciu województw - łączna moc zainstalowana przekraczająca 1,2 GW
- Elektrociepłownię zasilającą aglomerację liczącą kilkaset tysięcy mieszkańców
- Zakład produkcyjny z branży chemicznej, którego systemy automatyki sterują procesami wymagającymi ciągłości pracy
Bezpośrednie skutki ataku nie obejmowały przerw w dostawie energii elektrycznej do odbiorców końcowych - farmy wiatrowe zostały odłączone od sieci w trybie awaryjnym, a braki mocy zrekompensowały inne źródła w Krajowym Systemie Elektroenergetycznym. Ale pośrednie konsekwencje były poważne. Uszkodzenie firmware w kontrolerach RTU oznaczało, że dziesiątki turbin wiatrowych nie mogły być ponownie uruchomione zdalnie. Każdy kontroler wymagał fizycznej interwencji - przyjazdu ekipy serwisowej, wymiany modułów pamięci flash, ponownej kalibracji czujników. Pełne przywrócenie operacyjności niektórych farm trwało tygodnie.
TIP
Fizyczne uszkodzenie firmware RTU przekracza granicę typowego ataku IT. Gdy malware niszczy oprogramowanie wbudowane w urządzenia polowe, przywrócenie systemu wymaga nie kopii zapasowej, lecz wymiany sprzętu. Kopie zapasowe firmware i polityka wersjonowania to absolutne minimum - opisujemy to szerzej w artykule o segmentacji sieci OT.
Anatomia malware - wiper celujący w firmware
Malware użyty w ataku - roboczo nazwany przez analityków “WindWiper” do czasu ustalenia oficjalnej nomenklatury - nie szyfrował danych i nie żądał okupu. Jego jedynym celem było zniszczenie.
Łańcuch ataku zrekonstruowany przez zespoły CERT Polska, Dragos i Mandiant wyglądał następująco:
Faza 1 - Dostęp początkowy (wrzesień-październik 2025)
Atakujący wykorzystali skompromitowane dane uwierzytelniające do usług zdalnego dostępu VPN u kilku operatorów farm wiatrowych. W co najmniej trzech przypadkach wektor wejścia stanowiły konta serwisowe producentów turbin - konta z uprawnieniami do zdalnej diagnostyki, które nie były chronione uwierzytelnianiem wieloskładnikowym (MFA).
TIP
Konta serwisowe dostawców to jeden z najczęściej pomijanych wektorów ataku w środowiskach OT. Producenci turbin, systemów SCADA i sterowników PLC potrzebują zdalnego dostępu do diagnostyki - ale ten dostęp musi być ściśle kontrolowany, ograniczony czasowo i monitorowany. Więcej o bezpiecznym zdalnym dostępie w artykule Zdalny dostęp do systemów ICS.
Faza 2 - Ruch lateralny (październik-grudzień 2025)
Po uzyskaniu dostępu do sieci IT operatorów atakujący wykorzystywali brak segmentacji między strefami IT i OT, przechodząc do sieci sterowania. Mapowali architekturę systemów SCADA, identyfikowali modele i wersje firmware kontrolerów RTU. Szczególnie interesowały ich urządzenia konkretnych producentów europejskich, stosowanych powszechnie w polskich farmach wiatrowych.
Faza 3 - Przygotowanie payloadu (grudzień 2025)
WindWiper został skompilowany w kilku wariantach - każdy dostosowany do konkretnej architektury sprzętowej RTU. Malware zawierał moduły zdolne do komunikacji z kontrolerami po protokołach IEC 60870-5-104 i Modbus TCP. Ale kluczowy komponent stanowił moduł flashera - fragment kodu, który nadpisywał firmware RTU danymi losowymi, trwale uszkadzając urządzenie.
Faza 4 - Uderzenie (14 grudnia 2025, ok. 3:00-3:30)
O wyznaczonej godzinie WindWiper uruchomił się jednocześnie na dziesiątkach stacji inżynierskich i serwerów SCADA. W ciągu kilkunastu minut moduł flashera nadpisał firmware w setkach kontrolerów RTU. Jednocześnie wiper usunął logi systemowe, nadpisał konfiguracje serwerów SCADA i zniszczył kopie zapasowe przechowywane na lokalnych dyskach.
Atrybucja - Static Tundra, Berserk Bear, Dragonfly
Atrybucja cyberataków to zawsze proces obarczony niepewnością. Tym razem jednak zbieżność wskaźników technicznych, taktycznych i strategicznych była wyjątkowo silna.
W lutym 2026 roku CISA (Cybersecurity and Infrastructure Security Agency) opublikowała alert AA26-041A, w którym powiązała atak z klastrem aktywności określanym przez różne firmy analityczne jako:
| Nazwa | Stosowana przez |
|---|---|
| Static Tundra | Mandiant |
| Berserk Bear | CrowdStrike |
| Dragonfly / Dragonfly 2.0 | Symantec |
| Energetic Bear | Kaspersky |
| TEMP.Isotope | FireEye (starsze raporty) |
Wszystkie te nazwy odnoszą się do tego samego aktora lub ściśle powiązanego klastra operacyjnego - grupy powiązanej z rosyjskim FSB (Federalna Służba Bezpieczeństwa), aktywnej od co najmniej 2011 roku i specjalizującej się w atakach na sektor energetyczny.
Dragonfly nie jest nowicjuszem. Ta grupa stoi za falą ataków na zachodnie przedsiębiorstwa energetyczne w latach 2014-2017, udokumentowaną przez Symantec i CISA. W tamtym okresie atakujący penetrowali sieci operatorów energetycznych w USA, Turcji i Europie Zachodniej - uzyskując dostęp wystarczający do zakłócenia pracy elektrowni, choć wówczas nie podjęli destrukcyjnych działań.
Atak na polską energetykę odnawialną stanowi zmianę paradygmatu. Po raz pierwszy ten klaster operacyjny przeszedł od rozpoznania i utrzymywania dostępu do aktywnej destrukcji.
TIP
Alert CISA AA26-041A zawiera wskaźniki kompromitacji (IoC) - hasze plików, adresy IP infrastruktury C2, sygnatury YARA. Zespoły SOC i administratorzy systemów OT powinni niezwłocznie sprawdzić swoje środowiska pod kątem obecności tych wskaźników.
Dlaczego akurat OZE
Farmy wiatrowe i fotowoltaiczne stanowią szczególnie atrakcyjny cel z kilku powodów.
Po pierwsze - rozproszenie. Pojedyncza farma wiatrowa to dziesiątki turbin rozmieszczonych na obszarze kilkudziesięciu kilometrów kwadratowych, połączonych siecią komunikacyjną ze stacją bazową. Każda turbina zawiera kontroler RTU, który musi być dostępny zdalnie. Im więcej punktów dostępu, tym większa powierzchnia ataku.
Po drugie - zależność od zdalnego zarządzania. W przeciwieństwie do tradycyjnych elektrowni, gdzie operatorzy są fizycznie obecni przy urządzeniach, farmy wiatrowe są zarządzane z centrów kontroli oddalonych o setki kilometrów. Systemy zdalnego dostępu to nie wygoda - to konieczność operacyjna.
Po trzecie - łańcuch dostaw. Turbiny wiatrowe produkują firmy z Danii, Niemiec, Hiszpanii i Chin. Każdy producent utrzymuje własne kanały serwisowe, własne protokoły aktualizacji firmware, własne portale diagnostyczne. Operatorzy farm muszą udostępniać dostęp wielu podmiotom zewnętrznym - co dramatycznie komplikuje zarządzanie tożsamością i uprawnieniami.
Po czwarte - rosnące znaczenie strategiczne. Polska dynamicznie rozwija energetykę wiatrową - na koniec 2025 roku moc zainstalowana w farmach wiatrowych na lądzie przekroczyła 12 GW, pokrywając w szczycie nawet 40% krajowego zapotrzebowania na energię. Zakłócenie tego źródła w okresie zimowym, gdy zapotrzebowanie na energię jest najwyższe, ma wymiar nie tylko techniczny, ale polityczny.
Chronologia reakcji
| Data | Wydarzenie |
|---|---|
| 14 grudnia 2025 | Atak WindWiper na ponad 30 farm wiatrowych, elektrociepłownię i zakład produkcyjny |
| 14-15 grudnia 2025 | CERT Polska aktywuje tryb incydentu krytycznego; PSE wdraża procedury bilansowania mocy |
| 16 grudnia 2025 | ABW i SKW uruchamiają wspólne śledztwo; Pełnomocnik Rządu ds. Cyberbezpieczeństwa informuje RCB |
| 18 grudnia 2025 | ENISA publikuje wstępne ostrzeżenie dla europejskich operatorów OZE |
| styczeń 2026 | Dragos i Mandiant publikują analizy techniczne malware WindWiper |
| luty 2026 | CISA publikuje alert AA26-041A z atrybucją i wskaźnikami kompromitacji |
| marzec 2026 | Ostatnie farmy wiatrowe dotknięte atakiem wracają do pełnej operacyjności |
Wnioski dla operatorów infrastruktury OT
Atak z grudnia 2025 obnażył systemowe słabości w zabezpieczeniach polskiej energetyki rozproszonej. Nie chodzi o błąd jednego operatora - te same luki występują w dziesiątkach organizacji.
Segmentacja sieci - w wielu zaatakowanych obiektach sieć IT i OT nie były odpowiednio odseparowane. Atakujący, po uzyskaniu dostępu do sieci korporacyjnej, mogli swobodnie przechodzić do systemów sterowania. Właściwa segmentacja sieci OT jest fundamentem bezpieczeństwa przemysłowego.
Kontrola dostępu zdalnego - konta serwisowe producentów turbin z pełnym, nielimitowanym dostępem VPN stanowiły główny wektor wejścia. Zasady bezpiecznego zdalnego dostępu do systemów ICS - MFA, ograniczenie czasowe sesji, nagrywanie sesji, jump hosty - powinny obejmować wszystkich dostawców zewnętrznych.
Kopie zapasowe firmware - wiper niszczący firmware RTU jest skuteczny tylko wtedy, gdy operator nie posiada zweryfikowanych kopii zapasowych oprogramowania wbudowanego. Regularne tworzenie i testowanie backupów firmware to element higieny, którego brak kosztował tygodnie przestoju.
Monitorowanie sieci OT - w większości zaatakowanych obiektów nie funkcjonowały systemy wykrywania anomalii w ruchu sieciowym OT (IDS/NTA). Komunikacja malware z kontrolerami RTU trwała tygodniami przed atakiem i mogła zostać wykryta.
TIP
Jeśli zarządzasz infrastrukturą OT w sektorze energetycznym - nie czekaj na kolejny incydent. Audyt bezpieczeństwa OT, testy segmentacji i przegląd polityk zdalnego dostępu to kroki, które można podjąć natychmiast. SEQRED wspiera operatorów infrastruktury krytycznej w budowaniu odporności na tego typu zagrożenia.
Szerszy kontekst - eskalacja w cyberprzestrzeni
Atak na polską energetykę odnawialną wpisuje się w wyraźny trend eskalacji cyberataków na europejską infrastrukturę krytyczną. W 2022 roku, kilka godzin po rosyjskiej inwazji na Ukrainę, atak na satelitę KA-SAT firmy Viasat sparaliżował komunikację tysięcy terminali w Europie - w tym systemów zdalnego sterowania niemieckimi farmami wiatrowymi (ponad 5 800 turbin Enercon straciło łączność). W 2023 roku dańska SektorCERT odnotowała skoordynowaną kampanię wymierzoną w 22 firmy z duńskiego sektora energetycznego, wykorzystującą podatności w firewallach Zyxel.
Polska, jako kraj graniczący z Ukrainą, aktywnie wspierający Kijów i dynamicznie rozwijający infrastrukturę OZE, znajduje się na pierwszej linii tego konfliktu.
Grudzień 2025 był ostrzeżeniem. Następne uderzenie może celować w systemy, których wyłączenie będzie odczuwalne nie przez operatorów, lecz przez miliony odbiorców.
Źródła
- CISA Alert AA26-041A - Destructive Malware Targeting Polish Renewable Energy Infrastructure (luty 2026)
- CERT Polska - Komunikat o incydencie w sektorze energetyki odnawialnej (grudzień 2025)
- Dragos - WindWiper: Destructive ICS Malware Targeting Wind Farm RTUs (styczeń 2026)
- Mandiant - Static Tundra Targets Polish Critical Infrastructure (styczeń 2026)
- Symantec - Dragonfly: Western Energy Sector Targeted by Sophisticated Attack Group (2017)
- ENISA - Threat Landscape for the Energy Sector (2023)
- SektorCERT - Attack against Danish Critical Infrastructure (2023)