Минулого тижня я писав про атаку Sandworm на польську енергосистему — першу деструктивну кібератаку Росії на критичну інфраструктуру країни НАТО. Тепер CERT Polska опублікував детальний технічний звіт, і картина виявилася значно серйознішою.

Масштаб більший, ніж здавалося

Спочатку йшлося про дві теплоелектростанції та систему управління відновлюваною енергетикою. Тепер відомо, що атака зачепила близько 30 об’єктів по всій Польщі — переважно розподілені енергоресурси (DER): вітрові та сонячні електростанції, когенераційні установки. Сумарна потужність уражених об’єктів — 1,2 ГВт, або 5% енергопостачання країни.

Це перша у світі атака, спрямована саме на DER-інфраструктуру. Dragos підкреслює: раніше державні хакери атакували централізовані електростанції та підстанції, тепер же ціллю стали малі розподілені джерела. Це еволюція тактики.

Хронологія атаки

Розвідка тривала кілька місяців до грудня 2025 року. CERT Polska виявив два кластери активності протягом року — не виключено, що їх здійснював один актор.

8 грудня 2025 року атакуючі внесли ключові зміни в конфігурацію систем: увімкнули адміністративні share-ресурси та створили правило фаєрвола під назвою «Microsoft Update», яке дозволяло комунікацію через TCP-порт 445. Це відкрило доступ до дисків через SMB та можливість віддаленого виконання команд.

29-30 грудня відбулася деструктивна фаза — рівно через десять років після атаки BlackEnergy на українську енергосистему.

Як атакували OT-пристрої

На кожному з уражених об’єктів використовувалися послідовні сервери Moxa NPort 6xxx. Веб-інтерфейс був увімкнений, а облікові дані — дефолтні.

Атакуючі використали ці облікові дані щоб:

  • скинути пристрої до заводських налаштувань
  • змінити паролі
  • встановити IP-адресу на 127.0.0.1

Результат — повна недоступність пристроїв. Зміна пароля та IP-адреси була розрахована на затримку відновлення. На кожному об’єкті були атаковані всі доступні пристрої Moxa.

DynoWiper: не OT, а IT для recovery

Цікава деталь: вайпер DynoWiper, який проаналізував ESET, був спрямований не на OT-системи безпосередньо, а на IT-системи, які використовуються для відновлення після збоїв. Логіка зрозуміла: знищити можливість швидкого recovery, щоб максимізувати час простою.

Серед інструментів атакуючих — rsocx2 та набір Impacket для взаємодії з мережевими протоколами та віддаленого виконання команд.

Хто стоїть за атакою: ГРУ чи ФСБ?

Тут починається найцікавіше. Різні дослідники дають різну атрибуцію:

CERT Polska пов’язує атаку зі Static Tundra (вона ж Berserk Bear, Ghost Blizzard, Dragonfly) — групою, афілійованою з Центром 16 ФСБ. Ця структура спеціалізується на проникненні в критичну інфраструктуру, особливо енергетичну.

ESET атрибутує атаку Sandworm (APT44, Seashell Blizzard) — підрозділу 74455 ГРУ, відомому деструктивними операціями: BlackEnergy, NotPetya, Industroyer.

Dragos використовує власний кластер ELECTRUM, який перетинається з Sandworm, але вважається окремою групою активності.

Це не просто академічна суперечка. ФСБ і ГРУ — різні структури з різними мандатами. ФСБ традиційно займається розвідкою та шпигунством, ГРУ — деструктивними операціями. Якщо CERT Polska має рацію, це може означати розширення мандату ФСБ на деструктивні атаки, або ж кооперацію між двома спецслужбами.

Чому атака не досягла мети

Прем’єр Туск заявив, що критична інфраструктура не постраждала. Але це не зовсім точно. OT-пристрої були пошкоджені — деякі безповоротно. Комунікація з ними була втрачена. Однак генерація електроенергії не припинилася.

Чому? По-перше, атака була спрямована на IT-системи відновлення та комунікаційні пристрої, а не на самі генератори. По-друге, польські оператори швидко виявили проблему і перейшли на ручне управління.

Але CERT Polska попереджає: навіть якби атака повністю вдалася, вона не спричинила б загальнонаціональний блекаут. Натомість могла б викликати значні коливання частоти в мережі. Такі коливання у 2025 році призвели до каскадного колапсу енергосистеми Іберійського півострова.

Висновки

Атака на Польщу — не просто черговий інцидент. Це:

  1. Перша деструктивна атака на країну НАТО з використанням вайпера проти енергетичної інфраструктури.

  2. Перша атака на DER-інфраструктуру — розподілені енергоресурси стають новою ціллю.

  3. Можлива кооперація ФСБ і ГРУ — або розширення мандату однієї зі спецслужб.

  4. Тест на реакцію — Росія перевіряє, як далеко може зайти без серйозних наслідків.

Минулого разу я писав, що адекватної реакції, швидше за все, не буде. Поки що це підтверджується. Європа висловлює стурбованість, але конкретних дій немає. А Росія отримує сигнал: можна продовжувати.

Джерела: