Adwertorial
W grudniu 2025 r. polska elektrociepłownia stała się celem zaawansowanego ataku powiązanej z Rosją grupy APT. Jak wskazuje raport CERT, kluczową rolę w ochronie infrastruktury krytycznej odegrało rozwiązanie klasy EDR, które rozpoznało szkodliwe operacje i zapobiegło incydentowi, zanim doszło do paraliżu systemów.
Dzisiejsze działania wojenne wykroczyły już poza fizyczne ataki, zamiast tego coraz częściej wrogie państwa sięgają po narzędzia umożliwiające walkę w przestrzeni cyfrowej. W ostatnich latach przekonujemy się o tym coraz częściej, a najnowszym przykładem takiej sytuacji są ataki „wymierzone w co najmniej 30 farm wiatrowych i fotowoltaicznych (…) oraz w dużą elektrociepłownię dostarczającą ciepło dla prawie pół miliona odbiorców w Polsce”. Powyższy cytat pochodzi z raportu CERT, z którego dowiadujemy się nie tylko o tym, kto stał za atakami, ale również w jaki sposób został on zablokowany w przypadku wspomnianej elektrociepłowni.
TŁO ATAKU
Warto podkreślić na wstępie, że przeprowadzony 29 stycznia atak był poprzedzony długimi przygotowaniami, które trwały od marca do lipca 2025 r. W ich ramach cyberprzestępcy wykradli wrażliwe dane, a wreszcie uzyskali dostęp do uprzywilejowanych kont w domenie Active Directory. Jak czytamy w raporcie CERT, atakujący uzyskali dostęp do jednej z maszyn przesiadkowych, za której sprawą łączono się następnie do innych maszyn (w tym kontrolera domeny) z użyciem pulpitu zdalnego. W dalszej kolejności prowadzony był rekonesans infrastruktury, szczególnie systemów SCADA, przy użyciu narzędzi takich jak nircmd, PsExec, nslookup, ping oraz skanerów portów. Za ich sprawą zbierane były dane o procesach, połączeniach sieciowych i zasobach użytkowników.
Pod koniec 2025 r. atakujący, wciąż niewidoczny wewnątrz infrastruktury IT przedsiębiorstwa, kontynuował działania, m.in. zmodyfikował reguły zapory, by ukryć ruch w obrębie środowiska sieciowego elektrociepłowni. W końcu grupa cyberprzestępcza zdecydowała się na wykorzystanie wipera – narzędzia niszczącego lub wymazującego pliki.
W trakcie ataku zadziałało oprogramowanie wykorzystywane przez firmę, a dokładniej ESET PROTECT. Jak wyjaśnia Dawid Zięcina, dyrektor działu technicznego w DAGMA Bezpieczeństwo IT: „Zastosowane rozwiązanie EDR/XDR wykryło zagrożenie behawioralnie (a nie na podstawie sygnatur) oraz zablokowało próbę masowego nadpisywania plików i czyszczenia dysków. Należy podkreślić, że oprogramowanie zadziałało mimo braku wcześniejszej wiedzy o tym malware. To dokładnie ten scenariusz, w którym tradycyjny antywirus nie wystarcza, a EDR robi różnicę między incydentem a katastrofą biznesową”.
PRZEWAGA ROZWIĄZAŃ KLASY EDR
Jak zostało wyżej wspomniane, EDR to narzędzie zdecydowanie bardziej zaawansowane niż zwykły antywirus. Dzieje się tak m.in. ze względu na to, że rozwiązanie tej klasy monitoruje w czasie rzeczywistym anomalie w ruchu sieciowym, co jest niezbędne w przypadku wiperów Sandworm, których sygnatury mogą być nieznane przed pierwszym użyciem. W tym konkretnym przypadku o skuteczności cyberobrony zadecydował mechanizm kanarków, tj. plików, które zgłaszają naruszenie w momencie, gdy dochodzi do próby ich modyfikacji. Dzięki temu proces nadpisywania danych na ponad 100 maszynach został zatrzymany, atak powiązanej z Rosją grupy ATP przerwano, a ciągłość działania elektrociepłowni nie została zagrożona.
Było to możliwe dzięki zastosowaniu oprogramowania ESET PROTECT i wbudowanemu w tę platformę EDR-a. Opisana sytuacja to doskonały przykład tego, że nawet krytyczna infrastruktura, cechująca się zabezpieczeniami na wysokim poziomie, może zostać zinfiltrowana przez wrogie siły. Wystarczy pojedyncza luka, punkt wejścia, by krok po kroku, bez wiedzy poszkodowanego, przejmować kontrolę nad kolejnymi elementami środowiska sieciowego, omijając zasieki obronne. Zawieść może dowolne ogniwo, w tym często najsłabsze z nich – człowiek. Dlatego tak ważne jest, by obok szkoleń dla personelu inwestować również w – chroniące przed cyfrowymi zagrożeniami – najwyższej jakości oprogramowanie.
Więcej informacji
eset.com/pl/
