Польша обвинила хакеров ФСБ в попытке кибератаки на энергетическую инфраструктуру

Центр CERT Polska при «Научно-исследовательской компьютерной сети» Польши (NASK) выпустил отчёт о декабрьской кибератаке по энергетической инфраструктуре. Специалисты приписывают её российским хакерам ФСБ. 

В середине января стало известно, что в последнюю неделю декабря польская энергосистема подверглась крупнейшей за последние годы кибератаке. Министр энергетики страны Милош Мотыка сообщил, что она провалилась «благодаря усилиям командования киберсил» страны. Никаких подробностей при этом не сообщили. Позже стало известно, что атаку отбивали 29 декабря.

CERT выпустила отчёт для международной аудитории на английском языке. Из него выяснилось, что атаке подверглась так называемая точка технологического присоединения (GDP), которая соединяла сеть Польши с источниками возобновляемой энергии, включая солнечные панели и ветряки. Атака затронула примерно 30 таких объектов, включая саму точку. Кибер-составляющая была направлена на то, чтобы прервать синхронизацию между сетью потребления и генерацией.

Согласно отчёту, точкой входа для хакеров был FortiGate — это межсетевой экран нового поколения (NGFW) от американской Fortinet. Такие устройства помогают изолировать подсети для передачи важных данных с защитой межсетевого экрана, системой предотвращения вторжений (IPS), фильтрацией запросов, VPN и антивирусом, в которых также применяются нейросети. Также атаку позволили провести RTU560 — устройства автоматизации подстанций для передачи электроэнергии от японской Hitachi, которая, судя по материалам, была подключена к мировому интернету. 

Часть атаки, как сообщается, была автоматизирована, то есть у взломщиков изначально была тактика, с помощью которой они хотели вторгнуться в сети. У программы был список IP-адресов, по которым проходил взлом. Если атака не удавалась по конкретному IP-адресу в пределах одного сетевого сегмента, последующие адреса не получали вредоносных запросов. Судя по описанию, хакеры встроились в систему, используя заводские логин и пароль, и начали «портить» прошивку, вставляя мусор вместо важного кода. Устройства не могли запустить систему и начали перезагружаться. Связь между узлами была потеряна, однако непосредственно на генерацию энергии это не повлияло.

«29 декабря 2025 года на каждом из затронутых объектов были начаты деструктивные действия против устройств, к которым злоумышленник получил доступ. Активность, наблюдаемая на отдельных подстанциях, была, по меньшей мере, частично автоматизирована. Устройства повреждались в порядке возрастания IP-адресов. <..> Атака была осуществлена ​​путем входа в веб-интерфейс с использованием учетной записи Default. Эта учетная запись имеет права на изменение прошивки устройства и использовалась для загрузки поврежденной прошивки. Файл прошивки в формате ELF был изменен таким образом, что в точку входа программы были вставлены 240 байт 0xFF. В результате процессор выполнил недопустимую инструкцию, что вызвало ошибку и привело к циклу перезагрузки устройства», — говорится в отчёте.

Аналитики попытались угадать, кто именно совершил атаку. Согласно отчёту, CERT сравнил характеристики этих устройств с «публично описанными типами инфраструктуры анонимизации», используемой ФСБ (APT). Похожие методы, как утверждается, использовали группировки Static Tundra, Berserk Bear, Ghost Blizzard и Dragonfly. Хакеры из этих ОПГ атаковали Cisco, CrowdStrike, Microsoft и  and Symantec. Однозначно атрибутировать атаку россиянам специалисты не могут: согласно их собственному признанию, это первое описание атаки этого кластера хакеров на энергетическую инфраструктуру Запада.

28 апреля 2025 года отключение энергии произошло на Пиренейском полуострове. Верховный суд Испании засекретил данные об инциденте. Появлялись версии, что в произошедшем были виноваты российские хакеры и «зелёная энергетика», на которую пыталась перейти правительство Санчеса. В июле появилась официальная государственная версия, согласно которой отключение было вызвано «нетипичным колебанием с частотой 0,6 Гц».