Американските енергийни оператори бяха призовани спешно да сменят всички фабрични и повторно използвани пароли, след серия от разрушителни кибератаки срещу енергийни доставчици в Полша в края на 2025 г.
На 29 декември 2025 г. групировка атакува над 30 вятърни и соларни парка, комбинирана топлоелектрическа централа (CHP) и производствено предприятие. Анализът на полския национален екип за реагиране при компютърни инциденти CERT-PL показва, че атаката е била стратегическа и с потенциал за сериозни смущения, в контекста на нарастващо геополитическо напрежение.
Макар да са избегнати мащабни прекъсвания на електрозахранването, инцидентът разкри сериозни уязвимости в индустриалната контролна среда.
Как е осъществен пробивът
Според CERT-PL първоначалният достъп е осъществен чрез интернет-достъпни edge устройства, включително:
-
защитни стени (firewalls)
-
VPN шлюзове
-
мрежови маршрутизатори
Част от тези системи са били уязвими поради:
-
липсваща или слаба многофакторна автентикация (MFA)
-
недостатъчна сегментация между оперативни технологии (OT) и индустриални контролни системи (ICS)
-
използване на фабрични или повторно използвани идентификационни данни
След проникването атакуващите са внедрили разрушителен зловреден код.
Деструктивен етап – повреден фърмуер и изтрити данни
Злонамерената операция е включвала:
-
компрометиране на фърмуера на отдалечени терминални устройства (RTU)
-
нарушаване работата на HMI системи
-
изтриване на корпоративни данни
Особено тревожен е фактът, че при липса на механизми за проверка на фърмуера, някои OT устройства могат да бъдат трайно повредени.
Това превръща кибератаката от временен инцидент в потенциален физически и инфраструктурен риск.
Три ключови извода според CISA
Американската агенция за киберсигурност и инфраструктурна защита (CISA) подчерта три основни проблема, изведени от полския анализ:
1. Уязвимите edge устройства остават приоритетна цел
Устройства в край на жизнения си цикъл (end-of-life) – като стари защитни стени и VPN шлюзове – представляват сериозен риск и следва да бъдат заменени незабавно.
2. Липсата на проверка на фърмуера е критична слабост
Операторите трябва да приоритизират актуализации, които позволяват верификация на фърмуера.
Ако това не е възможно в краткосрочен план, плановете за реакция при инциденти трябва да предвиждат сценарии с неработещи OT устройства, за да се избегнат продължителни прекъсвания.
3. Фабричните пароли – входна врата за атакуващите
Колективът от злонамерени хакери е използвал фабрични идентификационни данни, за да получи достъп до критични системи.
Затова CISA призовава операторите в енергийния сектор:
-
незабавно да сменят всички фабрични пароли
-
да елиминират повторното използване на креденшъли
-
да въведат задължителна MFA
-
да прегледат достъпа до интернет-експонирани устройства
Геополитическият контекст
CERT-PL определя атаката като стратегическа и насочена към създаване на смущения, което я поставя в категорията на операции с потенциална държавна или геополитическа мотивация.
Енергийният сектор остава една от най-чувствителните инфраструктури в условията на международно напрежение. В подобни сценарии кибератаките могат да бъдат използвани като инструмент за икономически и политически натиск.
