Zespół CERT Polska, czyli Polski Zespół Reagowania na Incydenty Komputerowe, przypisał serię grudniowych cyberataków wymierzonych w infrastrukturę energetyczną kraju Federalnej Służbie Bezpieczeństwa Rosji (FSB), co według polskich urzędników stanowi najgorszy incydent tego rodzaju od wielu lat.
Ataki dotknęły 30 obiektów związanych z odnawialnymi źródłami energii, firmę produkcyjną oraz blok ciepłowniczy i elektrociepłownię obsługującą niemal 500 000 klientów pod koniec grudnia 2025 r., jak podaje raport CERT Polska, na który powołuje się agencja Reuters.
„Okres ten zbiegł się z niskimi temperaturami i burzami śnieżnymi dotykającymi Polskę, tuż przed Sylwestrem” – głosi raport.
Polskie władze cybernetyczne określiły te działania jako „czysto destrukcyjne”, porównując je do podpalenia. Atakujący mieli na celu nieodwracalne zniszczenie danych przechowywanych na urządzeniach w elektrociepłowni, jednak ochronne oprogramowanie zablokowało tę część ataku, jak wskazuje raport.
CERT Polska połączył incydent z operacją hakerską FSB śledzoną pod kilkoma nazwami, w tym „Berserk Bear” i „Dragonfly”. Według raportu FBI z sierpnia 2025 r., te grupy są związane z jednostką specjalistyczną oznaczoną jako Centrum 16 FSB.
Mimo że ta grupa historycznie wykazywała „znaczne zainteresowanie” sektorem energetycznym i wykazywała zdolność do atakowania urządzeń przemysłowych, „jest to pierwsza publicznie opisana aktywność destrukcyjna przypisana temu klastrze” – zauważyli polscy urzędnicy ds. cybernetycznych.
Przypisanie tego incydentu wywołało debatę wśród badaczy bezpieczeństwa cybernetycznego. Firma ESET z Słowacji opublikowała analizę w zeszłym tygodniu, łącząc złośliwe oprogramowanie użyte w atakach w Polsce z jednostką hakerską Sandworm, należącą do rosyjskiego wywiadu wojskowego, a nie FSB. ESET wydał drugi raport w piątek, ponownie łącząc złośliwe oprogramowanie z Sandworm, chociaż zaznaczył, że różne grupy hakerskie mogły przeprowadzić inne aspekty operacji.
John Hultquist, główny analityk w Google Threat Intelligence Group, powiedział, że rzekomy atak przeprowadzony przez Berserk Bear stanowi znaczącą zmianę taktyki.
„Mają środki, pytanie zawsze brzmiało, czy mają motywację” – powiedział Hultquist. „Teraz, potencjalnie na podstawie tej atrybucji, udowodnili nam, że mają motywację, co stawia nas w znacznie poważniejszej sytuacji.”
Rozwój sytuacji oznacza eskalację od penetracji celów w celu długoterminowego szpiegostwa ku działaniom destrukcyjnym – zauważył Hultquist.
Wyraził obawy dotyczące zbliżających się Zimowych Igrzysk Olimpijskich, które mają się rozpocząć 6 lutego.
„Rosja próbowała wcześniej zablokować ceremonie otwarcia Zimowych Igrzysk Olimpijskich, i była bardzo aktywna podczas ostatnich letnich igrzysk” – powiedział Hultquist. „Zakłócające cyberataki stanowią realne zagrożenie.”
Polska zgłasza rosnącą liczbę cyberataków na swoją infrastrukturę krytyczną od inwazji Rosji na Ukrainę w lutym 2022 r. Moskwa regularnie zaprzecza odpowiedzialności za złośliwą aktywność w cyberprzestrzeni.
Minister Energii Miłosz Motyka zgłosił nieudane cyberataki na kilka elektrowni w ostatnich dniach 2025 r. Wicepremier i minister ds. cyfryzacji Krzysztof Gawkowski stwierdził w grudniu, że Polska była „bardzo blisko” awarii zasilania z powodu rosyjskiego ataku.
Premier Donald Tusk zwołał pilne spotkanie 15 stycznia w sprawie cyberataków na polską infrastrukturę energetyczną. Po spotkaniu Tusk stwierdził, że niektóre dowody wskazują na zaangażowanie rosyjskich służb wywiadowczych w przygotowanie ataków, choć zauważył brak jednoznacznych dowodów.
Ambasada rosyjska w Waszyngtonie nie odpowiedziała na prośbę o komentarz.
