Cyberzagrożenia dla elektroenergetyki - od BlackEnergy po FrostyGoop
Cyberzagrożenia dla sektora energetycznego - chronologia ataków BlackEnergy, Industroyer, FrostyGoop, wymagania IEC 62351, NERC CIP, NIS2 i obrona.
W grudniu 2015 roku 230 000 mieszkańców zachodniej Ukrainy straciło prąd na kilka godzin. Nie z powodu oblodzonych linii ani awarii transformatora - lecz dlatego, że grupa hakerów zdalnie otworzyła wyłączniki w trzydziestu podstacjach dystrybucyjnych. To był pierwszy publicznie potwierdzony cyberatak, który spowodował zaciemnienie. Od tamtej pory sektor energetyczny przeżywa nowy rodzaj ewolucji zagrożeń - taki, w którym fizyczna odporność sieci przestaje wystarczać.
Ten artykuł porządkuje dekadę cyberataków na sieci elektroenergetyczne, analizuje grupy APT odpowiedzialne za najpoważniejsze incydenty, mapuje ramy regulacyjne i przedstawia konkretne mechanizmy obronne na każdym etapie łańcucha ataku.
Dekada cyberataków na sieci energetyczne - chronologia
Poniższa tabela zestawia najważniejsze ataki na infrastrukturę elektroenergetyczną od 2015 roku. Każdy z nich wyznaczył nowy etap w ewolucji zagrożeń.
| Rok | Incydent | Cel | Malware / Technika | Skutek |
|---|---|---|---|---|
| 2015 | Atak na Oblenergos | 3 ukraińskie spółki dystrybucyjne | BlackEnergy3 + KillDisk | 230 000 odbiorców bez prądu, 6h |
| 2016 | Atak na Ukrenergo | Podstacja przesyłowa pn. Kijowa | Industroyer (CrashOverride) | 1h zaciemnienie, bezpośrednia manipulacja protokołami IEC 104 / IEC 61850 |
| 2022 | Industroyer2 | Ukrenergo | Industroyer2 + CaddyWiper | Atak zneutralizowany przez CERT-UA i ESET |
| 2024 | Atak na ciepłownię we Lwowie | Miejska spółka ciepłownicza, 600+ budynków | FrostyGoop - Modbus TCP | Mieszkańcy bez ogrzewania przez 2 dni w styczniu |
| 2025 | Atak na polską OZE | Farmy wiatrowe, fotowoltaika, elektrociepłownie | DynoWiper | Atak powstrzymany - mógł pozbawić prądu 500 000 osób |
Grupy APT zagrażające sektorowi energetycznemu
Sandworm (APT44 / GRU Unit 74455)
Sandworm to najbardziej destrukcyjna grupa APT w historii cyberbezpieczeństwa przemysłowego. Przypisuje się jej autorstwo BlackEnergy, Industroyer, Industroyer2, NotPetya, a od grudnia 2025 - również DynoWiper. Grupa działa w ramach rosyjskiego Głównego Zarządu Wywiadowczego (GRU) i konsekwentnie celuje w sektor energetyczny.
Atak DynoWiper na polską energetykę odnawialną w grudniu 2025 miał miejsce dokładnie w 10. rocznicę zaciemnienia na Ukrainie. ESET zidentyfikował wcześniej nieznany wiper, który celował w elektrociepłownie oraz system zarządzania farmami wiatrowymi i fotowoltaicznymi. Polski CERT odnotował rekordową liczbę incydentów APT w sektorze energetycznym w 2025 roku.
Volt Typhoon (Voltzite)
Volt Typhoon to chińska grupa APT, która nie niszczy - buduje przyczółki. Stosuje wyłącznie techniki living-off-the-land (PowerShell, WMI, netsh), co czyni ją wyjątkowo trudną do wykrycia konwencjonalnymi narzędziami. CISA, NSA i FBI ostrzegły, że grupa pre-pozycjonuje się w sieciach IT infrastruktury krytycznej USA z zamiarem ewentualnego przejścia na systemy OT.
Podzbiór Volt Typhoon - nazwany Voltzite - prowadzi rekonesans i enumerację wielu amerykańskich firm energetycznych. W 2024 roku utrzymywał nieautoryzowany dostęp do sieci OT zakładu Littleton Electric Light and Water Departments przez 10 miesięcy (luty-listopad), zbierając dane o procedurach operacyjnych i rozkładzie przestrzennym sieci energetycznej.
WARNING
Volt Typhoon nie kradnie danych i nie instaluje malware - zbiera wiedzę operacyjną o topologii sieci OT. Oznacza to, że wykrycie kompromitacji wymaga analizy behawioralnej, nie sygnaturowej.
Anatomia ataku na sieć energetyczną - łańcuch zagłady
Każdy z opisanych incydentów przeszedł przez te same fazy. Zrozumienie pełnego kill chain pozwala wdrożyć kontrole na każdym etapie.
Faza 1: Dostęp początkowy (tygodnie/miesiące przed atakiem)
Atakujący zdobywają przyczółek w sieci IT operatora - przez phishing (BlackEnergy), skompromitowany łańcuch dostaw lub exploity na publicznych usługach (VPN, webmail). W przypadku Volt Typhoon dostęp odbywa się przez routery SOHO i urządzenia brzegowe.
Faza 2: Ruch lateralny i eskalacja uprawnień
Po uzyskaniu dostępu do sieci IT grupy APT przemieszczają się w stronę sieci OT. W ataku BlackEnergy 2015 hakerzy kradli dane logowania VPN do systemów SCADA. Industroyer 2016 potrzebował miesięcy przygotowań, by zrozumieć protokoły IEC 104 i IEC 61850 stosowane w podstacji.
Faza 3: Manipulacja procesem przemysłowym
To moment, w którym atak cyber staje się atakiem fizycznym:
- BlackEnergy 2015 - zdalne otwarcie wyłączników w 30 podstacjach
- Industroyer 2016 - bezpośrednia komunikacja z RTU przez IEC 104
- FrostyGoop 2024 - zmiana parametrów regulatorów temperatury przez Modbus TCP
- DynoWiper 2025 - niszczenie firmware sterowników (wiper)
Faza 4: Utrudnianie odzyskania
KillDisk (2015) niszczył dyski MBR stacji operatorskich. CaddyWiper (2022) usuwał dane w momencie, gdy Industroyer2 miał wejść w fazę destrukcyjną. FrostyGoop modyfikował nastawy tak, by operatorzy nie widzieli nieprawidłowości na interfejsie HMI.
TIP
Wdrożenie niezależnego monitoringu parametrów fizycznych (temperatura, napięcie, częstotliwość) pozwala wykryć manipulację procesu nawet gdy system SCADA/HMI pokazuje wartości prawidłowe. Tego typu podejście defence-in-depth opisujemy w artykule o Defense in Depth w DCS.
Powierzchnia ataku nowoczesnej sieci energetycznej
Współczesna sieć elektroenergetyczna to złożony ekosystem łączący generację, przesył, dystrybucję i odbiorcę końcowego. Każdy z tych elementów wprowadza nowe wektory ataku.
| Warstwa | Komponenty | Wektory ataku | Przykład incydentu |
|---|---|---|---|
| Generacja | Turbiny, farmy PV/wiatrowe, elektrownie | Kompromitacja sterowników, wiper firmware | DynoWiper 2025 (farmy wiatrowe) |
| Przesył | Podstacje, linie WN, FACTS | Manipulacja protokołami IEC 61850/104 | Industroyer 2016 |
| Dystrybucja | Transformatory SN/nN, rozdzielnie | Zdalne otwarcie wyłączników przez SCADA | BlackEnergy 2015 |
| Odbiorca / AMI | Inteligentne liczniki, IoT, DER | Ataki na koncentratory danych, MitM | Mars Hydro 2025 (2,7 mld rekordów IoT) |
| Ciepłownictwo | Regulatorzy temperatury, BMS | Manipulacja Modbus TCP | FrostyGoop 2024 |
incydentów cyberbezpieczeństwa w UE (lipiec 2024 - czerwiec 2025)
incydentów dotyczących systemów OT
wzrost ataków na systemy SCADA w ciągu 2 lat
osób zagrożonych utratą prądu w polskim ataku OZE 2025
Źródła: ENISA Threat Landscape 2025, Dragos 2025, ESET/CERT Polska
Ramy regulacyjne dla cyberbezpieczeństwa energetyki
Sektor energetyczny podlega rosnącej liczbie wymagań regulacyjnych. Poniżej zestawienie trzech kluczowych ram - europejskiej, amerykańskiej i technicznej.
NIS2 - Dyrektywa UE
Dyrektywa NIS2 (2022/2555) klasyfikuje operatorów energetycznych jako podmioty kluczowe (essential entities). Oznacza to obowiązek:
- wdrożenia zarządzania ryzykiem dla systemów IT i OT
- raportowania incydentów w ciągu 24h (wczesne ostrzeżenie) i 72h (pełny raport)
- bezpieczeństwa łańcucha dostaw - weryfikacja dostawców komponentów OT
- regularnych audytów i testów penetracyjnych
NERC CIP (Ameryka Północna)
Normy NERC CIP w wersji z 2025 roku (CIP-003-9, CIP-005-7, CIP-010-4, CIP-013-2) znacząco rozszerzają zakres wymagań. Nowelizacja obniżyła progi klasyfikacji - szacunkowo 15-25% wcześniej zwolnionych zasobów DER (rozproszone źródła energii) podlega teraz wymaganiom dla zasobów o średnim lub wysokim wpływie.
IEC 62351 - bezpieczeństwo komunikacji energetycznej
Standard IEC 62351 definiuje mechanizmy bezpieczeństwa dla protokołów komunikacyjnych stosowanych w elektroenergetyce (IEC 61850, IEC 60870-5-104, DNP3):
- uwierzytelnianie i autoryzacja komunikacji między urządzeniami
- szyfrowanie przesyłanych danych procesowych
- monitoring i audyt zdarzeń bezpieczeństwa (IEC 62351-7)
NOTE
IEC 62351 uzupełnia się z IEC 62443 (bezpieczeństwo systemów automatyki przemysłowej). Praktyczne aspekty wdrożenia IEC 62443 opisujemy w osobnym przewodniku.
Mechanizmy obrony - kontrole na każdym etapie kill chain
Checklist: zabezpieczenie sieci elektroenergetycznej
Faza planowania i architektury:
- Segmentacja sieci IT/OT zgodna ze strefami i korytarzami IEC 62443
- Wdrożenie DMZ między siecią korporacyjną a systemami SCADA
- Izolacja protokołów przemysłowych (IEC 104, Modbus, DNP3) od sieci IP
- Bezpieczeństwo łańcucha dostaw - weryfikacja integralności firmware i oprogramowania (SBOM)
Monitoring i detekcja:
- Pasywny monitoring ruchu OT (NDR) z dekodowaniem protokołów przemysłowych
- Niezależna weryfikacja parametrów fizycznych (porównanie SCADA vs. pomiar rzeczywisty)
- Analiza logów z systemów uwierzytelniania (AD, RADIUS) pod kątem anomalii
- Threat intelligence specyficzny dla sektora energetycznego
Dostęp i uwierzytelnianie:
- MFA na wszystkich połączeniach zdalnych do systemów OT
- Just-in-time (JIT) access dla serwisantów i dostawców zewnętrznych
- Nagrywanie sesji zdalnych i ich audyt - szczegóły w artykule o zdalnym dostępie do ICS
- Oddzielne konta administracyjne dla IT i OT
Odporność i odzyskanie:
- Kopie zapasowe firmware sterowników i konfiguracji RTU (offline, weryfikowane)
- Procedury ręcznego sterowania na wypadek utraty systemów SCADA
- Ćwiczenia table-top ze scenariuszami cyberataków na sieć energetyczną
- Plan przywracania usług priorytetyzowany wg krytyczności odbiorców
Porównanie podejść obronnych wg warstwy Purdue
| Poziom Purdue | Kontrola podstawowa | Kontrola zaawansowana | Standard referencyjny |
|---|---|---|---|
| L5 - Enterprise | Firewall, AV, EDR | SIEM/XDR, UEBA | ISO 27001, NIS2 |
| L4 - Business planning | DMZ, data diode | Unidirectional gateway | IEC 62443-3-3 |
| L3 - Site operations | Segmentacja VLAN | NDR z dekodowaniem OT | IEC 62443-3-3, NERC CIP-005 |
| L2 - Supervisory | Whitelisting aplikacji | Monitoring zmian konfiguracji | IEC 62351, NERC CIP-010 |
| L1 - Basic control | Hardening sterowników | Firmware integrity monitoring | IEC 62443-4-2 |
| L0 - Physical process | Limity fizyczne | Niezależne zabezpieczenia SIS | IEC 61511 |
Ewolucja malware dedykowanego dla energetyki
Jednym z najistotniejszych trendów ostatniej dekady jest rozwój malware, który “mówi językiem” protokołów przemysłowych. W odróżnieniu od ransomware czy wiperów znanych z IT, te narzędzia potrafią bezpośrednio komunikować się ze sterownikami i systemami SCADA.
Od generic do native OT
Generacja 1 - narzędzia IT w sieci OT (2010-2015): BlackEnergy sam w sobie nie był malware OT - był platformą zdalnego dostępu. Manipulacja wyłącznikami odbywała się ręcznie przez operatorów Sandworm, którzy logowali się do interfejsów SCADA tak jak uprawnieni użytkownicy.
Generacja 2 - dedykowane moduły protokołowe (2016-2022): Industroyer posiadał cztery dedykowane moduły - IEC 104, IEC 61850, OPC DA i każdy z nich potrafił autonomicznie komunikować się z urządzeniami w podstacjach. Industroyer2 uprościł podejście do jednego modułu IEC 104, ale z hardkodowanymi adresami celów.
Generacja 3 - uniwersalne narzędzia OT (2024+): FrostyGoop komunikuje się przez Modbus TCP - jeden z najbardziej rozpowszechnionych protokołów przemysłowych. IOCONTROL atakuje szeroką gamę urządzeń IoT i SCADA. Te narzędzia nie są dedykowane dla konkretnego celu - mogą zostać użyte przeciwko dowolnej instalacji korzystającej z danego protokołu.
Konsekwencje dla operatorów energetycznych
Ta ewolucja oznacza, że tradycyjne podejście “security by obscurity” (ukrycie za specyfiką protokołów przemysłowych) przestaje działać. Atakujący rozumieją protokoły IEC 104, Modbus, DNP3 i potrafią tworzyć narzędzia, które autonomicznie realizują scenariusze ataku. Monitorowanie ruchu sieciowego w warstwie OT - z dekodowaniem i analizą anomalii w protokołach przemysłowych - staje się wymogiem, nie opcją.
NOTE
Szczegółową analizę poszczególnych incydentów znajdziesz w encyklopedii ataków: Industroyer, Industroyer2, FrostyGoop, Sandworm Team.
Specyfika polskiego sektora energetycznego
Polska energetyka przechodzi transformację, która jednocześnie zwiększa powierzchnię ataku:
Rozwój OZE: Rosnący udział farm wiatrowych i fotowoltaicznych oznacza więcej rozproszonych sterowników, bramek IIoT i systemów zarządzania, z których wiele łączy się z chmurą. Atak DynoWiper z grudnia 2025 udowodnił, że te zasoby stały się celem operacji APT.
Modernizacja sieci przesyłowej: Wdrażanie inteligentnych podstacji, systemów WAMS (Wide Area Monitoring Systems) i FACTS zwiększa zależność od komunikacji cyfrowej.
Ustawa o Krajowym Systemie Cyberbezpieczeństwa: Polska implementacja NIS2 nakłada na operatorów usług kluczowych obowiązki raportowania, audytu i zarządzania ryzykiem w łańcuchu dostaw.
TIP
Dla operatorów energetycznych, którzy dopiero budują program cyberbezpieczeństwa OT, pomagamy rozpocząć od inwentaryzacji zasobów i segmentacji sieci - te dwa kroki dają najwięcej widoczności przy relatywnie niskim nakładzie.
Detekcja i response - jak wykrywać ataki na sieci energetyczne
Skuteczna obrona to nie tylko prewencja. Ataki na infrastrukturę energetyczną często trwają tygodniami lub miesiącami (Sandworm w 2015 miał dostęp przez 6 miesięcy przed atakiem). Kluczowe zdolności detekcji:
Monitoring warstwy sieciowej OT
Pasywne systemy NDR (Network Detection and Response) dekodują protokoły przemysłowe i wykrywają anomalie: nietypowe komendy IEC 104 (np. otwarcie wyłącznika o 2:00 w nocy), nieznane adresy ASDU, zmiany topologii stacji. Ważne, by system rozumiał kontekst operacyjny - zamknięcie wyłącznika w trakcie planowanych prac utrzymaniowych to normalna operacja, ale ta sama komenda poza oknem serwisowym wymaga natychmiastowej analizy.
Korelacja zdarzeń IT-OT
Atak na sieć energetyczną zaczyna się w IT. Korelacja zdarzeń z Active Directory (nietypowe logowania, eskalacja uprawnień), systemów VPN (połączenia z nowych lokalizacji) i sieci OT (nowe przepływy, zmiany konfiguracji) pozwala wykryć atak na wczesnym etapie ruchu lateralnego - zanim atakujący dotrze do systemów SCADA.
Weryfikacja integralności sterowników
Porównanie firmware i konfiguracji sterowników RTU/PLC z zatwierdzoną wersją bazową (golden image) wykrywa nieautoryzowane modyfikacje. DynoWiper niszczył firmware - regularna weryfikacja integralności pozwoliłaby wykryć próbę nadpisania przed uruchomieniem wipera.
Plan response dla sektora energetycznego
Incydent w sieci energetycznej wymaga specyficznych procedur:
- Izolacja segmentu bez wyłączania procesu - operatorzy muszą mieć możliwość odłączenia kompromitowanej podstacji od systemu SCADA przy zachowaniu lokalnego sterowania ręcznego
- Komunikacja z regulatorem - URE, CERT Polska, RCB w zależności od klasyfikacji incydentu wg ustawy o KSC
- Koordynacja z OSP/OSD - operator systemu przesyłowego/dystrybucyjnego musi wiedzieć o ograniczeniach w dostępności elementów sieci
- Forensics bez zatrzymania procesu - zbieranie dowodów z kopii ruchu sieciowego i logów, nie z urządzeń produkcyjnych
Co dalej - trendy 2026 i dalej
Trzy kierunki będą kształtować cyberzagrożenia dla elektroenergetyki w najbliższych latach:
-
Malware mówi protokołami przemysłowymi. FrostyGoop (Modbus TCP), Industroyer (IEC 104/61850), IOCONTROL (IoT/SCADA) - kolejne rodziny malware będą natywne dla protokołów OT, omijając tradycyjne zabezpieczenia IT.
-
Aktorzy państwowi pre-pozycjonują się w sieciach OT. Volt Typhoon zbiera wiedzę operacyjną. Sandworm testuje wipery na nowych celach. Oba podejścia wymagają ciągłego threat huntingu, nie tylko reagowania na incydenty.
-
Regulacje pchają w stronę odporności. NERC CIP 2025, NIS2, ustawa KSC - wszystkie wymagają proaktywnego zarządzania ryzykiem, testów i raportowania. Operatorzy, którzy traktują compliance jako formalność, pozostają podatni.
Podsumowanie
Sektor energetyczny przeszedł od zagrożeń fizycznych (oblodzenie linii, awarie transformatorów) do zagrożeń cybernetycznych, w których atakujący potrafią manipulować procesami przemysłowymi na odległość tysięcy kilometrów. Dekada od BlackEnergy 2015 po DynoWiper 2025 pokazuje, że grupy APT systematycznie doskonalą swoje narzędzia i poszerzają zakres celów - od Ukrainy, przez Stany Zjednoczone, po Polskę.
Obrona wymaga podejścia warstwowego: segmentacji sieci, monitoringu protokołów OT, niezależnej weryfikacji parametrów fizycznych, zarządzania dostępem i regularnych ćwiczeń. Ramy regulacyjne (NIS2, NERC CIP, IEC 62351, IEC 62443) dostarczają struktury - ale to ich praktyczne wdrożenie decyduje o odporności.
SEQRED pomaga operatorom energetycznym w audytach bezpieczeństwa systemów OT, testach penetracyjnych infrastruktury przemysłowej oraz budowie programów cyberbezpieczeństwa zgodnych z IEC 62443 i wymaganiami ustawy o KSC.
Źródła
- CISA - Cyber-Attack Against Ukrainian Critical Infrastructure (IR-ALERT-H-16-056-01)
- ESET - Industroyer: Biggest Threat to Industrial Control Systems Since Stuxnet
- Dragos - Intel Brief: Impact of FrostyGoop ICS Malware on Connected OT Systems
- ESET Research - Sandworm Behind Cyberattack on Poland’s Power Grid in Late 2025
- CISA/NSA/FBI - PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure
- ENISA Threat Landscape 2025
- NERC CIP 2025 Updates - Key Changes, Utility Implications
- KPMG - Cybersecurity Considerations 2025: Energy and Natural Resources
- MITRE ATT&CK - 2015 Ukraine Electric Power Attack (C0028)
- Congress.gov - Attacks on Ukraine’s Electric Grid: Insights for U.S. Infrastructure Security (R48067)