Za grudniowym atakiem na polską energetykę stoi rosyjska grupa Sandworm

Analitycy cyberzagrożeń z ESET przedstawili szczegóły ataku na polski sektor energetyczny, o którym niedawno informowali premier Donald Tusk oraz minister cyfryzacji Krzysztof Gawkowski.

Eksperci potwierdzili, że za próbą paraliżu sieci z 29 grudnia 2025 roku stoi powiązana z rosyjskim wywiadem grupa Sandworm. Atak nastąpił dokładnie w 10. rocznicę zorganizowanego przez tę samą grupę pierwszego w historii blackoutu wywołanego przez cyberatak – w grudniu 2015 roku w Ukrainie.

Cyberatak z wykorzystaniem złośliwego oprogramowania typu wiper

Jak informowały polskie władze, pod koniec ubiegłego roku polski sektor energetyczny stał się celem znaczącego cyberataku. Analitycy ESET potwierdzają próbę zakłócającego ataku cybernetycznego, która miała miejsce 29 grudnia 2025 roku.

„Napastnicy wykorzystali oprogramowanie typu wiper, które analitycy ESET przeanalizowali i nazwali DynoWiper. ESET nie ma informacji, aby w wyniku tego ataku doszło do jakichkolwiek skutecznych zakłóceń” – wyjaśniają specjaliści ESET. „Na podstawie analizy złośliwego oprogramowania oraz powiązanych z nim taktyk, technik i procedur (TTP), z umiarkowaną pewnością przypisujemy ten atak powiązanej z Rosją grupie Sandworm. Wynika to ze znacznej zbieżności z licznymi, wcześniejszymi działaniami Sandworm z użyciem wiperów, które analizowaliśmy” – dodają.

Choć szczegóły dotyczące zamierzonych skutków ataku są wciąż badane, należy zwrócić uwagę na czas tego skoordynowanego uderzenia. Przeprowadzono je w samym środku zimy, dokładnie w 10. rocznicę zorganizowanego przez grupę Sandworm ataku na ukraińską sieć energetyczną. Był to pierwszy w historii przypadek przerwy w dostawie prądu spowodowany przez złośliwe oprogramowanie. W grudniu 2015 roku ta grupa APT, wykorzystując malware BlackEnergy, przeniknęła do systemów krytycznych kilku podstacji elektrycznych, pozbawiając około 230 000 osób energii na kilka godzin.

Przypomnijmy, 15 stycznia Premier Donald Tusk spotkał się z ministrami, szefami służb oraz instytucji odpowiedzialnych za bezpieczeństwo energetyczne Polski. Narada miała związek z cyberatakiem, do którego doszło pod koniec ubiegłego roku. Polska skutecznie się obroniła i nie doszło do blackoutu czy innych negatywnych konsekwencji. Wydarzenie zostało potraktowane jednak bardzo poważnie. „Zmobilizowałem moich ministrów oraz służby specjalne do wytężonej pracy. Musimy być przygotowani na wszelkie ewentualności” – powiedział szef rządu po zakończeniu spotkania. Premier zapowiedział również dodatkowe zabezpieczenia, w tym m.in. ustawę o Krajowym Systemie Cyberbezpieczeństwa.

Cyberatak na elektrociepłownie i OZE

Pod koniec 2025 roku, 29  i 30 grudnia, doszło do cyberataków na infrastrukturę energetyczną w Polsce. Zaatakowano punktowo niektóre miejsca, w tym dwie elektrociepłownie. Ataki były wymierzone  także w system, który umożliwia zarządzanie prądem pochodzącym z OZE, czyli z odnawialnych źródeł energii, jak wiatraki i farmy fotowoltaiczne.

„Wiele wskazuje na to, że te ataki były przygotowane przez grupy wprost związane z rosyjskimi służbami”
– powiedział Prezes Rady Ministrów na konferencji po spotkaniu. Premier zaznaczył, że zagrożone było nie tylko bezpieczeństwo energetyczne, czyli prąd i ciepło w naszych domach, ale także – bezpieczeństwo państwa.

Skuteczna obrona dzięki polskim systemom

Polska skutecznie obroniła się przed cyberatakiem. Nie doszło do żadnych negatywnych konsekwencji, jak destabilizacja systemu energetycznego kraju czy blackout. „Systemy, które dzisiaj w Polsce mamy, okazały się skuteczne. Ani przez chwilę nie była zagrożona infrastruktura krytyczna, czyli sieci przesyłowe i to, co decyduje o bezpieczeństwie całego systemu” – zaznaczył Premier.

Prezes Rady Ministrów wyraził przekonanie, że choć polski system energetyczny jest bezpieczny i odporny na tego typu ingerencje czy ataki, potrzebuje dalszego wzmocnienia. Szef rządu podkreślił, że cyberatak na infrastrukturę energetyczną został potraktowany bardzo poważnie i rząd przygotowuje dodatkowe zabezpieczenia.

Kończą się prace nad ustawą o Krajowym Systemie Cyberbezpieczeństwa, która wprowadzi bardziej rygorystyczne wymogi dotyczące zarządzania ryzykiem, ochrony systemów IT i OT (technologii operacyjnych) oraz reagowania na incydenty. Premier wyraził nadzieję, że Prezydent podpisze tę ustawę bez zbędnej zwłoki.

„Mam nadzieję jak najszybciej wdrożyć tę ustawę. Będziemy wyposażali polskie instytucje w narzędzia ochrony rynku przed systemami i urządzeniami, które ułatwiałyby obcym państwom ingerencję oraz pozyskiwanie informacji. Dążymy do autonomizacji i polonizacji systemów bezpieczeństwa” – zaznaczył Prezes Rady Ministrów.