Widok na Kremlowską Wieżę Spasską i Katedrę św. Bazylego w centrum Moskwy, Rosja, 24 kwietnia 2024 r., z nakładką kodu. (Zdjęcie: Alexander Nemenov / AFP za pośrednictwem Getty Images; Kolaż: The Kyiv Independent)
Pod koniec grudnia osoba obsługująca cyfrowe tablice w Polskim Operacie Systemu Elektroenergetycznego, narodowym operatorze energii elektrycznej w Polsce, zauważyła, że gwałtownie wiele stacji słonecznych nagle zniknęło z sieci.
Polska w środku zimy może być ponurym miejscem. Jednak sieć nie obserwowała spadku generacji zgodnego z ostatnim przesileniem. Były to pełne odłączenia, zsynchronizowane, w czasie, gdy sieć potrzebowała mocy.
„Myśleli, że to jakiś błąd urządzenia, ponieważ elektrownia nadal produkowała energię, po prostu nie mogła uzyskać połączenia zdalnego,” Marcin Dudek, szef CERT Polska, krajowego organu ds. cyberbezpieczeństwa w Polsce, powiedział Kyiv Independent. „Ale otrzymaliśmy informację, że coś się dzieje od operatora, który monitoruje wszystkie elektrownie.”
Tylko po ustabilizowaniu sieci polscy organy cybernetyczne miały czas, by zapytać kto dokładnie zaatakował ich sieć słoneczną. Następne śledztwo CERT-PL wykazało, że atakujący dostali się także do systemów dużej elektrociepłowni, gdzie w większości 2025 r. usuwali firmware.
Hakerzy używali kodu i metodologii w dużej mierze wywodzącej się od Sandworm, grupy hakerskiej operującej pod Dyrekcją Główną Wywiadu Rosji, czyli GRU, która od ogromnego ataku na ukraińską sieć energetyczną w 2016 r. stała się jedną z najbardziej znanych takich grup na świecie.
Atak był powiązany, ale inny. CERT-PL powstrzymało się od nazwania podejrzanych hakerów. Jednak równoległe raporty z Google Cloud zidentyfikowały ich jako grupę w Federalnym Biurze Bezpieczeństwa Rosji, czyli FSB, analogiczną do jednostki Sandworm GRU.
Atak na energię słoneczną był „pierwszą publicznie opisaną destrukcyjną aktywnością przypisaną temu klasterowi działalności,” jak to sformułowało CERT-PL w delikatny sposób.
„W przeszłości dużo szpiegowali, ale nie niszczą,” tłumaczył Dudek. „W Polsce, jeśli chodzi o systemy ruchu drogowego, to zazwyczaj to są akcje hakerów działających na własną rękę,” dodał, odnosząc się do grup hakujących, które zazwyczaj działają poza kontrolą rządową, często poprzez publiczne grupy Telegram lub kanały Discord.
