Ataki DDoS na infrastrukturę przemysłową - zagrożenia i ochrona
Ataki DDoS na systemy OT/ICS - wektory, incydenty (Killnet, NoName057), ochrona infrastruktury krytycznej i wymagania NIS2.
9 grudnia 2025 roku CISA, FBI i NSA wspólnie z partnerami z Europy i Azji wydały pilne ostrzeżenie: prorosyjskie grupy hacktywistyczne - Cyber Army of Russia Reborn, Z-Pentest, NoName057(16) i Sector16 - przeprowadzają skoordynowane ataki DDoS na systemy SCADA i HMI infrastruktury krytycznej w sektorach wodno-kanalizacyjnym, energetycznym i spożywczym. W niektórych przypadkach ataki DDoS stanowiły zasłonę dymną dla rzeczywistych intruzji w sieci OT.
To już nie jest teoretyczne zagrożenie z podręczników. Ataki na dostępność systemów przemysłowych stały się narzędziem geopolityki, a brak przygotowania może kosztować nie tylko dane, ale ciągłość fizycznych procesów produkcyjnych.
Czym są ataki DoS i DDoS w kontekście OT
Atak typu DoS (Denial of Service) polega na zakłóceniu dostępności systemu, usługi lub sieci. DDoS (Distributed Denial of Service) to jego rozproszony wariant, w którym ruch generuje wiele źródeł jednocześnie. W środowiskach IT ataki te są uciążliwe, ale rzadko zagrażają bezpieczeństwu fizycznemu. W środowiskach OT sytuacja wygląda inaczej.
Systemy automatyki przemysłowej opierają się na ciągłej, deterministycznej komunikacji. Sterownik PLC, który traci łączność ze stacją operatorską na kilka sekund, może wymusić awaryjne zatrzymanie procesu. W systemie energetycznym utrata widoczności SCADA na podstacjach oznacza brak możliwości zdalnego przełączania obwodów. W oczyszczalni ścieków przerwa w komunikacji z czujnikami pH skutkuje niekontrolowanym zrzutem.
Trzy kategorie ataków na dostępność w OT
| Kategoria | Mechanizm | Przykład w środowisku przemysłowym |
|---|---|---|
| Wolumetryczne | Nasycenie pasma komunikacyjnego | Flood na interfejsie WAN łączącym SCADA z podstacjami |
| Protokołowe | Wyczerpanie zasobów sesji na urządzeniach sieciowych | SYN flood na firewallu strefowym, wysycenie tablicy połączeń switcha zarządzalnego |
| Aplikacyjne | Przeciążenie warstwy logicznej usługi | Lawina zapytań Modbus TCP do sterownika PLC (port 502), nadmiarowe żądania OPC UA |
| Fizyczne / RF | Zakłócenie komunikacji bezprzewodowej | Jamming sieci WirelessHART, zakłócenie LTE dla zdalnych RTU |
WARNING
Protokoły przemysłowe takie jak Modbus RTU/TCP nie posiadają wbudowanego uwierzytelniania ani szyfrowania. Każdy pakiet, który dotrze do sterownika PLC na porcie 502, zostanie przetworzony - nie ma mechanizmu odrzucania nieautoryzowanych żądań na poziomie protokołu. To fundamentalna różnica w porównaniu z protokołami IT.
Incydenty - od teorii do rzeczywistych strat
NERC 2019 - pierwsze potwierdzone DoS na grid energetyczny
5 marca 2019 roku atakujący wykorzystali podatność w interfejsie webowym firewalli na podstacjach elektroenergetycznych w USA. Cykliczne restarty urządzeń powodowały przerwy w komunikacji między urządzeniami polowymi a centrum sterowania. Problem rozwiązywano ponad 8 godzin. NERC (North American Electric Reliability Corporation) opublikowało raport, potwierdzając, że był to pierwszy udokumentowany cyberincydent wpływający na dostępność amerykańskiej infrastruktury energetycznej.
FrostyGoop 2024 - Modbus jako broń
W styczniu 2024 roku malware FrostyGoop wysyłał spreparowane komendy Modbus TCP do sterowników ogrzewania miejskiego we Lwowie. Skutek: ponad 600 budynków mieszkalnych straciło ogrzewanie w temperaturach poniżej zera. Atak nie wymagał wyrafinowanych exploitów - wystarczyło dotarcie do niezabezpieczonego portu 502 i wysłanie prawidłowych komend protokołu. Szczegółowy kontekst tego konfliktu opisujemy w artykule o wpływie wojny rosyjsko-ukraińskiej na cyberprzestępczość.
NoName057(16) - fabryka DDoS na skalę przemysłową
Grupa NoName057(16), aktywna od marca 2022, prowadzi platformę DDoSia, która umożliwia ochotnikom wspólne generowanie ataków DDoS na cele wskazane przez operatorów grupy. Między czerwcem 2024 a lipcem 2025 grupa atakowała średnio 50 unikalnych hostów dziennie, z rekordem 91 celów w jednym dniu. Wśród ofiar znalazły się lotniska (Taoyuan, Songshan), systemy transportu publicznego, dostawcy energii i instytucje rządowe w 14 krajach NATO.
W lipcu 2025 operacja Eastwood (koordynowana przez Eurojust) doprowadziła do likwidacji botnetu i wydania 7 nakazów aresztowania. Grupa jednak odbudowała infrastrukturę w ciągu kilku tygodni i wznowiła ataki.
Z-Pentest - hacktywizm wchodzi do OT
Grupa Z-Pentest, powstała we wrześniu 2024 z członków CARR i NoName057(16), specjalizuje się w intruzjach do systemów OT. W połączeniu z jednoczesnym atakiem DDoS na sieć ofiary, grupa wykorzystuje niezabezpieczone połączenia VNC do uzyskania dostępu do sterowników SCADA i HMI w sektorach wodno-kanalizacyjnym i energetycznym.
DDoS w liczbach - skala problemu
ataków DDoS zablokowanych przez Cloudflare w 2025
rekordowy atak DDoS w Q4 2025
ataków DDoS NoName057(16) na kraje NATO od 2022
wzrost ataków DDoS rok do roku w Q1 2025
Źródła: Cloudflare DDoS Threat Report Q1-Q4 2025, Eurojust
Dane Cloudflare dotyczą wszystkich sektorów, ale trend jest jednoznaczny - skala i częstotliwość ataków DDoS rosną wykładniczo. W środowiskach przemysłowych wystarczy znacznie mniejszy atak, by spowodować poważne zakłócenia. Sterownik PLC obsługujący proces chemiczny nie potrzebuje terabitów ruchu, żeby przestać odpowiadać - wystarczy kilkaset pakietów na sekundę skierowanych na port 502.
Dlaczego OT jest szczególnie podatne na ataki DoS
Środowiska przemysłowe mają cechy, które czynią je bardziej wrażliwymi na ataki na dostępność niż typowa infrastruktura IT:
-
Deterministyczność komunikacji - protokoły takie jak Modbus, PROFINET czy EtherNet/IP wymagają przewidywalnych czasów odpowiedzi. Nawet niewielkie opóźnienie (rzędu milisekund) może spowodować timeout i awaryjne zatrzymanie procesu.
-
Brak mechanizmów obronnych w protokołach - większość protokołów przemysłowych powstała w latach 80. i 90., gdy zakładano fizyczną izolację sieci. Nie mają rate-limiting, uwierzytelniania ani szyfrowania.
-
Długi cykl życia urządzeń - sterowniki PLC i RTU pracują 15-25 lat. Wiele z nich nie obsługuje TLS, nie ma wystarczającej pamięci na IDS i nie może być patchowanych bez zatrzymania procesu.
-
Dostępność jest priorytetem numer 1 - w IT mówimy o triadzie CIA (Confidentiality, Integrity, Availability). W OT kolejność jest odwrócona: AIC. Dostępność procesu jest ważniejsza niż poufność danych, bo jej utrata może zagrażać życiu ludzi.
-
Brak redundancji w komunikacji - wiele zakładów ma pojedynczy kanał komunikacyjny między SCADA a urządzeniami polowymi. Atak DDoS na ten kanał oznacza utratę widoczności nad procesem.
Scenariusze ataków DoS na infrastrukturę przemysłową
Scenariusz 1: Atak wolumetryczny na kanał WAN
Atakujący kieruje ruch DDoS na łącze WAN łączące centrum sterowania z odległymi podstacjami lub pompowniami. Efekt: operatorzy tracą widoczność SCADA, ale procesy na podstacjach działają w trybie autonomicznym. Ryzyko pojawia się, gdy potrzebna jest ręczna interwencja - operator nie ma możliwości zdalnego przełączenia obwodów.
Scenariusz 2: Flood na protokole przemysłowym
Atakujący wysyła lawiny zapytań Modbus TCP (function code 0x03 - Read Holding Registers) do sterownika PLC. Sterownik próbuje obsłużyć każde zapytanie, zaniedbując rzeczywistą komunikację z czujnikami i siłownikami. Watchdog timer wykrywa brak odpowiedzi i wymusza zatrzymanie awaryjne.
Scenariusz 3: DDoS jako zasłona dymna
Grupy takie jak Z-Pentest stosują atak DDoS na sieć korporacyjną ofiary, angażując zespół SOC, podczas gdy druga część operacji wykorzystuje niezabezpieczone połączenie VNC do modyfikacji parametrów procesu w systemie SCADA.
Scenariusz 4: Zakłócenie komunikacji bezprzewodowej
W instalacjach korzystających z WirelessHART lub komunikacji LTE (np. zdalne RTU na rurociągach) atakujący może zastosować jamming RF, uniemożliwiając transmisję danych pomiarowych. Brak sygnału z czujników ciśnienia na gazociągu może wymusić zamknięcie odcinka.
Ochrona infrastruktury OT przed atakami DDoS
Standardowe metody ochrony przed DDoS (scrubbing centers, CDN, rate-limiting na WAF) dotyczą głównie infrastruktury IT i aplikacji webowych. Środowisko OT wymaga innego podejścia, które uwzględnia specyfikę protokołów przemysłowych i priorytet dostępności procesu.
Checklist - 12 kroków ochrony OT przed atakami na dostępność
- Segmentacja sieci - wydzielenie stref i korytarzy zgodnie z IEC 62443. Szczegółowy przewodnik po segmentacji znajdziesz w naszym artykule o segmentacji sieci OT
- Ograniczenie ekspozycji - żadne urządzenie OT nie powinno być bezpośrednio dostępne z Internetu. Dotyczy to szczególnie portów Modbus (502), EtherNet/IP (44818), OPC UA (4840) i interfejsów VNC
- Dedykowane firewalle strefowe - firewalle na granicy IT/OT z regułami dopuszczającymi wyłącznie znane protokoły i adresy. Deep Packet Inspection (DPI) dla protokołów przemysłowych
- Redundantne kanały komunikacyjne - zapasowe łącza (np. LTE jako backup dla łączy WAN) z automatycznym przełączaniem. Różne protokoły i media transmisyjne dla krytycznych połączeń
- Rate-limiting na poziomie sieci OT - ograniczenie liczby pakietów na sekundę dopuszczalnych na interfejsach sterowników PLC i RTU
- Monitoring pasywny - systemy klasy IDS dedykowane dla OT (np. Tenable OT Security) monitorujące anomalie w ruchu sieciowym bez ingerencji w proces
- Aktualizacja firmware - regularne patchowanie firewalli i urządzeń sieciowych w strefie DMZ. Dla urządzeń OT, które nie mogą być patchowane - kompensujące kontrole sieciowe
- Utwardzenie konfiguracji - wyłączenie nieużywanych portów i usług na urządzeniach sieciowych, zmiana domyślnych haseł, wyłączenie interfejsów webowych na urządzeniach polowych
- Plan ciągłości działania - procedury operacyjne na wypadek utraty komunikacji SCADA, w tym tryb pracy manualnej i alternatywne kanały łączności
- Testy odporności - regularne ćwiczenia symulujące utratę dostępności systemów OT. Weryfikacja, czy operatorzy potrafią przejść na sterowanie lokalne
- Separacja VNC/RDP - dostęp zdalny do systemów OT wyłącznie przez dedykowaną strefę jump host z MFA, nigdy bezpośrednio z internetu. Więcej o bezpiecznym dostępie zdalnym w naszym przewodniku po zdalnym dostępie ICS
- Współpraca z ISP - uzgodnienie z dostawcą łącza mechanizmów filtrowania DDoS upstream (blackholing, scrubbing) dla adresów IP centrum sterowania
TIP
Zanim zainwestujesz w narzędzia ochrony przed DDoS, sprawdź podstawy: czy urządzenia OT są widoczne z internetu? Narzędzia takie jak Shodan i Censys regularnie indeksują otwarte porty Modbus i VNC na publicznych adresach IP. Inwentaryzacja i eliminacja niepotrzebnej ekspozycji to najtańszy i najskuteczniejszy pierwszy krok.
NIS2 a odporność na ataki DDoS
Dyrektywa NIS2, obowiązująca od 17 października 2024, nakłada na podmioty kluczowe i ważne (m.in. energetyka, transport, woda, produkcja) obowiązki w zakresie zarządzania ryzykiem cyberbezpieczeństwa, które bezpośrednio odnoszą się do odporności na ataki DDoS:
| Wymaganie NIS2 | Powiązanie z ochroną przed DDoS |
|---|---|
| Art. 21.2(a) - analiza ryzyk i polityki bezpieczeństwa | Ocena ryzyka ataków na dostępność systemów OT |
| Art. 21.2(b) - obsługa incydentów | Procedury reakcji na atak DDoS, eskalacja, komunikacja |
| Art. 21.2(c) - ciągłość działania i zarządzanie kryzysowe | Plan działania przy utracie komunikacji SCADA, tryb manualny |
| Art. 21.2(d) - bezpieczeństwo łańcucha dostaw | Weryfikacja odporności dostawców usług telekomunikacyjnych |
| Art. 23 - zgłaszanie incydentów | Wczesne ostrzeżenie w 24h, powiadomienie w 72h, raport w 1 miesiąc |
Organizacje, które nie wdrożą adekwatnych środków ochrony przed atakami na dostępność, narażają się na kary administracyjne (do 10 mln EUR lub 2% rocznego obrotu dla podmiotów kluczowych).
NOTE
NIS2 nie wymaga konkretnych technologii - wymaga proporcjonalnych środków zarządzania ryzykiem. Dla zakładu z pojedynczym łączem WAN do systemu SCADA, odpowiednim środkiem może być redundantne łącze LTE. Dla dużego operatora sieci energetycznej - dedykowana usługa scrubbing u dostawcy łącza.
Podsumowanie
Ataki na dostępność systemów OT nie są już domeną zaawansowanych grup APT. Grupy hacktywistyczne takie jak NoName057(16) i Z-Pentest udowodniły, że proste metody - DDoS w połączeniu z eksploracją niezabezpieczonych interfejsów VNC i protokołów przemysłowych - wystarczają do zakłócenia pracy infrastruktury krytycznej. Skala ataków DDoS rośnie (47,1 mln ataków w 2025 roku wg Cloudflare), a wraz z nią ryzyko dla operatorów systemów przemysłowych.
Ochrona zaczyna się od fundamentów: segmentacja sieci OT, eliminacja bezpośredniego dostępu z internetu, redundantne kanały komunikacyjne i przetestowane procedury ciągłości działania. Dyrektywa NIS2 formalizuje te wymagania, ale wdrożenie powinno wynikać z realnej oceny ryzyka, nie z obawy przed karami.
SEQRED pomaga operatorom infrastruktury krytycznej w ocenie odporności systemów OT na ataki, segmentacji sieci zgodnie z IEC 62443 oraz budowie architektury bezpieczeństwa uwzględniającej scenariusze ataków na dostępność.
Źródła:
- CISA Advisory AA25-343A - Pro-Russia Hacktivists Conduct Opportunistic Attacks Against US and Global Critical Infrastructure
- Cloudflare DDoS Threat Report Q1 2025
- Cloudflare DDoS Threat Report Q4 2025
- Eurojust - Hacktivist group responsible for cyberattacks on critical infrastructure in Europe taken down
- Sekoia - NoName057(16) DDoSia project: 2024 updates and behavioural shifts
- Cyble - Hacktivists Escalate Critical Infrastructure Attacks In 2025
- NERC - Risks Posed by Firewall Firmware Vulnerabilities
- ScienceDirect - Assessing the impact of Modbus/TCP protocol attacks on critical infrastructure
- Dyrektywa NIS2 - tekst oficjalny