DOJ i CISA ostrzegają: rosyjskie grupy CARR/NoName057(16) i Z-Pentest celują w infrastrukturę krytyczną (woda, energia, żywność)

Wprowadzenie do problemu / definicja luki

9 grudnia 2025 r. amerykański Departament Sprawiedliwości (DOJ) i CISA wraz z innymi agencjami opublikowały wspólne ostrzeżenie dotyczące kampanii prorosyjskich „hacktywistów” uderzających w systemy OT/ICS w sektorach wody i ścieków, energii oraz żywności. Ataki wykorzystują przede wszystkim słabo zabezpieczone, wystawione do internetu połączenia VNC do paneli HMI, co umożliwia zdalne manipulowanie procesami technologicznymi i wywoływanie efektów fizycznych.

W skrócie

• Kto atakuje: Cyber Army of Russia Reborn (CARR), NoName057(16), Z-Pentest oraz powiązana od 2025 r. grupa Sector16.
• Jak atakują: skanowanie otwartych portów VNC, brutalne łamanie haseł/wykorzystanie haseł domyślnych, dostęp do HMI/SCADA, zmiany parametrów i wyłączanie alarmów, czasem równoległe DDoS.
• Skutki: realne oddziaływanie na procesy – m.in. rozlanie setek tysięcy galonów wody pitnej i incydent z amoniakiem w zakładzie mięsnym w Los Angeles (XI 2024).
• Powiązania z państwem: CARR miała być finansowana/kierowana przez GRU; NoName057(16) – projekt sankcjonowany przez państwo, z własnym narzędziem DDoSia.

Kontekst / historia / powiązania

Wraz z eskalacją wojny Rosji przeciw Ukrainie (2022) wzrosła liczba prorosyjskich grup, które zaczęły łączyć DDoS z ingerencjami w OT. W 2024 r. administratorzy CARR i NoName zainicjowali Z-Pentest, deklarując specjalizację w intruzjach OT i porzucając DDoS na rzecz „głośniejszych” włamań do HMI. W 2025 r. pojawiła się także Sector16 współpracująca z Z-Pentest.

Równolegle trwa presja prawna i „kinetyczna”: w lipcu 2025 r. operacja międzynarodowa Eastwood (Europol/Eurojust) uderzyła w infrastrukturę NoName057(16), a 9 grudnia 2025 r. DOJ ogłosił dwa akty oskarżenia wobec obywatelki Ukrainy powiązanej z CARR i NoName.

Wcześniej (19 lipca 2024 r.) OFAC nałożył sankcje na liderkę CARR Julię Pankratovą i kluczowego hakera Denisa Degtiarenkę.

Analiza techniczna / szczegóły luki

Wspólna porada CISA/NSA/FBI/EPA/DOE/DISA identyfikuje powtarzalny, tani łańcuch działań (TTP), nastawiony na oportunistyczne cele:

• skanowanie internetu w poszukiwaniu wystawionych HMI/SCADA z otwartym VNC,
• użycie VPS do bruteforce i/lub korzystanie z domyślnych/słabych haseł,
• przejęcie widoku i sterowania w HMI (zmiany parametrów, nazw urządzeń, wyłączanie alarmów, restart),
• rejestracja ekranu/„proofy” i propaganda w Telegramie; czasem DDoS równolegle, by ułatwić wejście do sieci.

Autorzy wskazują, że sprawcy często nie rozumieją w pełni procesów przemysłowych (niska „maturity”), ale mimo to doprowadzają do fizycznych skutków i „loss of view”, wymuszając ręczne przejęcie sterowania przez operatorów.

Praktyczne konsekwencje / ryzyko

• Woda i ścieki: manipulacje SCADA doprowadziły do rozlania „setek tysięcy galonów” wody pitnej; DOJ łączy te incydenty z CARR.
• Żywność: atak na zakład mięsny w Los Angeles (XI 2024) – skażenie/utylizacja mięsa i wyciek amoniaku.
• Energetyka i inne sektory: czasowe utraty widoczności, defacement HMI, przerwy w działaniu, koszty operacyjne i reputacyjne.

Rekomendacje operacyjne / co zrobić teraz

Architektura i dostęp

• Bezwzględnie zablokuj VNC z internetu; jeśli VNC musi istnieć, tylko przez VPN + MFA, allow-listy i jump-hosty; rozważ całkowitą eliminację VNC z OT.
• Segmentacja sieci (ISA/IEC 62443), oddzielenie stref IT/OT, dostęp uprzywilejowany (PAM) dla kont operatorów HMI.

Twardnienie HMI/SCADA

• Zmień domyślne hasła, wymuś MFA tam, gdzie możliwe; wyłącz nieużywane usługi, ogranicz konta serwisowe.
• Wymuś lock-out po nieudanych logowaniach; monitoruj nietypowe sesje VNC/RDP.

Monitoring i detekcja

• Rejestrowanie i alertowanie na: otwarcie portów VNC, nowe połączenia z VPS/hostingów, nagłe wyłączenia alarmów HMI, zmiany parametrów procesu.
• Wdrażaj mapowanie do MITRE ATT&CK for ICS i testy w oparciu o znane TTP z CSA.

Procedury i ćwiczenia

• Playbooki na loss of view i ręczne przejęcie sterowania; regularne ćwiczenia z zespołami utrzymania ruchu.
• Kanały eskalacji i komunikacja z regulatorami/CSIRT-ami sektorowymi.

Zarządzanie ryzykiem dostawców

• Kontrole zdalnego serwisu (czasowe dostępy, jednorazowe poświadczenia), SBOM dla elementów ICS, weryfikacja zabezpieczeń paneli HMI produkowanych przez OEM.

Różnice / porównania z innymi przypadkami

W odróżnieniu od klasycznych kampanii APT (np. długotrwałe, ukryte infiltracje), opisywane ataki są głośne i oportunistyczne – mają dawać szybki efekt propagandowy (screeny z HMI), ale i tak potrafią wywoływać realne skutki fizyczne. Z-Pentest odróżnia się od typowych „DDoS-brigad” tym, że celuje bezpośrednio w OT/HMI, a nie wyłącznie w warstwę www/IT.

Podsumowanie / kluczowe wnioski

• Największym wektorem ryzyka jest VNC do HMI wystawione do internetu.
• Grupy CARR/NoName/Z-Pentest mają (według DOJ/CISA) związki organizacyjne/finansowe z rosyjskimi strukturami państwowymi, a ich działania wykraczają poza DDoS, dotykając realnych procesów przemysłowych.
• Nawet „małe” zakłady i gminne wodociągi są na celowniku – ataki są automatycznie skanowane i niezależne od skali ofiary.

Źródła / bibliografia

• The Record: przegląd ostrzeżeń DOJ/CISA i powiązanych działań (10 grudnia 2025). (The Record from Recorded Future)
• DOJ: „Justice Department Announces Actions to Combat Two Russian State-Sponsored Cyber Criminal Hacking Groups” (9 grudnia 2025). (Department of Justice)
• Wspólna porada CISA/NSA/FBI/EPA/DOE/DC3: „Pro-Russia Hacktivists Conduct Opportunistic Attacks Against Critical Infrastructure” (9 grudnia 2025).
• OFAC: sankcje na liderów CARR (19 lipca 2024). (U.S. Department of the Treasury)
• Europol: Operacja Eastwood przeciw NoName057(16) (16 lipca 2025). (Europol)