Archiwa: PowerShell - Strona 17 z 34 - Security Bez Tabu

Tag: PowerShell

Atakujący wykorzystują luki w SolarWinds Web Help Desk do wdrażania Velociraptora i tuneli Cloudflare

Wprowadzenie do problemu / definicja luki

SolarWinds Web Help Desk (WHD) to popularny system ITSM/ticketowy, często wystawiany (niestety) do internetu dla wygody administratorów. W lutym 2026 pojawiły się wiarygodne potwierdzenia aktywnego wykorzystywania krytycznych podatności w WHD do uzyskania zdalnego wykonania kodu bez uwierzytelnienia (unauthenticated RCE), a następnie do wdrażania legalnych narzędzi użytych „na opak” — m.in. Zoho/ManageEngine do zdalnego dostępu, Cloudflare Tunnel (cloudflared) do trwałego wejścia oraz Velociraptor jako kanału C2/operacji post-exploitation.

W skrócie

  • Co się dzieje: aktywna eksploatacja instancji SolarWinds WHD wystawionych do internetu.
  • Najważniejsza podatność: CVE-2025-40551 (deserializacja niezaufanych danych → RCE), dodana przez CISA do KEV z krótkim terminem remediacji dla agencji federalnych (USA).
  • Dodatkowo obserwowane/rozważane CVE: m.in. CVE-2025-26399 oraz CVE-2025-40536 (bypass kontroli bezpieczeństwa) – w zależności od kampanii i momentu włamania.
  • Po wejściu: szybkie wdrożenie narzędzi dual-use (Zoho/ManageEngine), tuneli Cloudflare oraz Velociraptora wykorzystywanego jako C2.
  • Rekomendacja nr 1: aktualizacja WHD do 2026.1 lub nowszej i odcięcie paneli/admina od internetu.

Kontekst / historia / powiązania

Na przełomie stycznia i lutego 2026 SolarWinds udostępnił poprawki dla pakietu podatności w WHD, w tym krytycznych problemów jak CVE-2025-40551 (deserializacja) oraz CVE-2025-40536 (bypass zabezpieczeń); badacze przypisują odkrycia m.in. do Horizon3.ai i watchTowr.
Równolegle Microsoft opisał przypadki wielostopniowych intruzji zaczynających się od eksploatacji internet-exposed WHD, kończących się ruchem lateralnym w stronę aktywów „high value” (włącznie z ryzykiem kompromitacji domeny).
Huntress natomiast pokazał „z bliska” realny łańcuch ataku z 7 lutego 2026, gdzie po wejściu atakujący natychmiast uruchomili wdrażanie narzędzi do utrzymania dostępu i sterowania środowiskiem.

Analiza techniczna / szczegóły luki

Jakie podatności są wykorzystywane?

  • CVE-2025-40551 – kluczowy wektor: błąd deserializacji niezaufanych danych, prowadzący do RCE bez logowania. Status “Known Exploited” (KEV) sugeruje realne, potwierdzone użycie w atakach.
  • CVE-2025-40536 – opisywany jako security control bypass w zestawie styczniowych poprawek.
  • CVE-2025-26399 – starsza podatność, która również pojawia się w obserwacjach branżowych dot. aktywnej eksploatacji; w części przypadków trudno jednoznacznie przypisać konkretny CVE, bo hosty bywały podatne jednocześnie na „stary” i „nowy” zestaw.

Typowy łańcuch ataku (na podstawie obserwacji incident response)

  1. Initial access: eksploatacja podatnej, wystawionej do internetu instancji WHD → uruchomienie poleceń w kontekście aplikacji.
  2. Szybkie dołożenie zdalnego dostępu: instalacja agentów narzędzi klasy RMM (np. Zoho/ManageEngine) poprzez ciche MSI (np. msiexec /q /i ...).
  3. C2 i redundancja dostępu: wdrożenie Velociraptora (legalny DFIR) jako kanału C2 oraz zestawienie Cloudflare Tunnel (cloudflared) jako zapasowej ścieżki dostępu.
  4. Post-exploitation: rozpoznanie AD, enumeracja kont i grup (w tym uprzywilejowanych), ustanawianie trwałości (np. reverse SSH/RDP) oraz próby osłabienia zabezpieczeń na hoście.

Wersje i łatki

W źródłach pojawiają się różne progi wersji podatnych (co bywa efektem kilku CVE oraz różnych gałęzi hotfixów), ale wspólny mianownik jest prosty: aktualizuj do SolarWinds WHD 2026.1 (lub nowszej) zgodnie z zaleceniami producenta.

Praktyczne konsekwencje / ryzyko

  • Pełna kompromitacja serwera WHD: RCE bez logowania na aplikacji wystawionej do internetu to w praktyce „otwarte drzwi”.
  • Ryzyko kompromitacji domeny: Microsoft wprost opisuje scenariusz foothold → lateral movement → aktywa wysokiej wartości, co w środowiskach z WHD blisko AD bywa krytyczne.
  • Trudniejsze wykrycie (dual-use tooling): Zoho/ManageEngine, Cloudflare Tunnel czy Velociraptor są legalne i nierzadko spotykane w IT — atakujący liczą na to, że zginą w szumie.
  • Utrzymanie dostępu mimo działań obronnych: dodatkowe kanały (tunel Cloudflare, Velociraptor jako C2) zwiększają odporność ataku na proste blokady.

Rekomendacje operacyjne / co zrobić teraz

  1. Patch natychmiast: zaktualizuj SolarWinds WHD do 2026.1+ (lub wersji wskazanej w Twojej linii wsparcia) i usuń stare hotfixy tylko po potwierdzeniu ścieżki upgrade’u.
  2. Odłącz WHD od internetu: jeśli WHD musi być dostępny zdalnie — wymuś VPN/Zero Trust, filtrację IP, MFA, a interfejs admina trzymaj wyłącznie w sieci zarządzającej.
  3. Hunting / IOC-driven triage (praktyczne tropy):
    • nietypowe uruchomienia msiexec z parametrami cichej instalacji i URL (MSI z hostingu plików),
    • obecność/uruchomienia cloudflared, nietypowe tunele wychodzące,
    • artefakty Velociraptor (szczególnie, jeśli organizacja go nie używa),
    • oznaki osłabiania zabezpieczeń hosta (zmiany w Defender/Firewall, podejrzane zadania harmonogramu).
  4. Rotacja sekretów: zresetuj hasła i klucze powiązane z WHD (konta serwisowe, integracje, dostęp do bazy), rozważ ponowne wydanie poświadczeń, jeśli WHD miał dostęp do zasobów krytycznych.
  5. Segmentacja i egress control: ogranicz ruch wychodzący z serwera WHD (allow-list), monitoruj nietypowe połączenia do usług tunelujących i chmur.
  6. Detekcja behawioralna: postaw na reguły wykrywające łańcuchy procesów (np. usługa WHD/Tomcat → cmd.exe/PowerShell → BITS/download), a nie tylko sygnatury.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Ten incydent to podręcznikowy przykład trendu „living off the land + dual-use”: zamiast custom malware, atakujący stawiają na legalne narzędzia administracyjne i IR/DFIR. Velociraptor jest tu szczególnie ciekawy — normalnie służy do polowań i analizy incydentów, a w rękach napastnika staje się elastycznym kanałem zdalnego sterowania.

Podsumowanie / kluczowe wnioski

  • WHD wystawiony do internetu + krytyczne luki = realne ryzyko szybkiej kompromitacji i eskalacji w głąb sieci.
  • W praktyce atak po wejściu może opierać się na „legalnych” narzędziach (Zoho/ManageEngine, Cloudflare Tunnel, Velociraptor), co utrudnia wykrycie bez dobrego telemetry + korelacji zachowań.
  • Najważniejsze działania: upgrade do 2026.1+, odcięcie ekspozycji internetowej, hunting pod konkretne artefakty i rotacja poświadczeń.

Źródła / bibliografia

  1. BleepingComputer – opis kampanii i narzędzi (Zoho/Cloudflare/Velociraptor) (BleepingComputer)
  2. Huntress – analiza aktywnej eksploatacji i łańcucha ataku (Huntress)
  3. Microsoft Security Blog – obserwacje dot. multi-stage intrusion i guidance detekcyjne (Microsoft)
  4. Help Net Security – kontekst poprawek i lista CVE z pakietu styczniowego (Help Net Security)
  5. NVD (wpis KEV/CISA dla CVE-2025-40551: daty, wymagane działania) (NVD)

Tirith: nowy „strażnik” terminala blokuje ataki podszywające się pod bezpieczne komendy

Wprowadzenie do problemu / definicja luki

Ataki „imposter” w terminalu żerują na tym, że człowiek ocenia komendę wzrokiem, a system interpretuje ją w bajtach. W praktyce oznacza to, że polecenie może wyglądać na bezpieczne, ale zawierać znaki Unicode z innego alfabetu (homoglify), znaki niewidzialne (np. zero-width) albo sekwencje sterujące terminala (ANSI), które zmieniają to, co widzisz.

Klasycznym przykładem jest IDN homograph/homoglyph attack: domena w URL wygląda jak znana („install.example-cli.dev”), ale jeden znak jest np. cyryliczny i prowadzi do serwera atakującego. To dokładnie ten typ problemu, który przeglądarki przez lata „oswoiły” (m.in. poprzez polityki wyświetlania punycode i ostrzeżenia), natomiast terminale nadal potrafią bezrefleksyjnie renderować podejrzane znaki.

W skrócie

  • Tirith to otwartoźródłowe, wieloplatformowe narzędzie, które podpina się pod powłokę (m.in. zsh/bash/fish/PowerShell) i analizuje komendy przed wykonaniem, ze szczególnym naciskiem na URL-e wklejane/uruchamiane w terminalu.
  • Wykrywa m.in. homoglify/homografy (Unicode lookalikes, punycode, mieszane skrypty), terminal injection (ANSI, bidi overrides, zero-width), wzorce pipe-to-shell (np. curl | bash) oraz próby modyfikacji „dotfiles” (np. ~/.bashrc, ~/.ssh/authorized_keys).
  • Z deklaracji autora: analiza jest lokalna, bez telemetrii i bez połączeń sieciowych, a narzut ma być sub-milisekundowy.

Kontekst / historia / powiązania

Homoglify (znaki wyglądające podobnie/identycznie) to temat znany od dawna — szczególnie w obszarze domen międzynarodowych (IDN). IETF standaryzuje sposób kodowania Unicode do ASCII w DNS m.in. przez Punycode, co umożliwia domeny niełacińskie, ale jednocześnie otwiera pole do nadużyć „look-alike”.

Z kolei Unicode Consortium opisuje mechanizmy i modele zagrożeń związane z „confusables” oraz mieszaniem skryptów w UTS #39 (Unicode Security Mechanisms) — to fundament wielu detekcji konfuzji znaków w produktach security.

W praktyce w cyberprzestępczości problem wraca falami:

  • w phishingu (URL-e w mailach),
  • w supply chain (typosquatting, fałszywe repozytoria),
  • oraz coraz częściej w socjotechnice „uruchom tę komendę” (np. w fałszywych instrukcjach, ticketach, pastebinach, „naprawkach” podawanych przez rzekomy support). Tirith celuje właśnie w tę warstwę „między okiem a powłoką”.

Analiza techniczna / szczegóły luki

1) Homograph/homoglyph w URL-ach (Unicode lookalikes, punycode, mixed scripts)

Mechanizm jest banalny: atakujący rejestruje domenę łudząco podobną do prawdziwej, np. przez podstawienie jednego znaku na konfuzowalny (łacińskie „i” vs cyrylickie „і”). Człowiek widzi „to samo”, resolver DNS widzi coś innego.

Tirith ma reguły, które identyfikują m.in.:

  • znaki spoza ASCII w hostnames,
  • domeny punycode,
  • etykiety z mieszanymi skryptami (np. łacina + cyrylica).

2) Terminal injection: ANSI, bidi overrides, znaki zero-width

To bardziej podstępna klasa ataków: nie tylko podszywasz się pod domenę, ale też manipulujesz tym, co terminal wyświetla, aby ukryć fragment komendy lub „przestawić” jej widok (np. przez bidi overrides). To jest ta sama rodzina problemów, która stała za „Trojan Source” (atakami wykorzystującymi właściwości Unicode do rozjazdu między tym, co widzi człowiek, a tym, co przetwarza parser/kompilator).

3) Pipe-to-shell i „source-to-sink patterns”

Wzorce typu:

  • pobierz → wykonaj (curl … | bash, wget … | sh),
  • dynamiczna ewaluacja (eval $(…), python <(curl …)),
    są „ulubioną” bramą do kompromitacji, bo redukują czas na refleksję do zera.

Z podejścia Tirith wynika, że nie wszystko musi być blokowane — część przypadków może być ostrzeżeniem, ale kluczowe jest, by operator zobaczył ryzyko zanim wciśnie Enter.

4) Dotfile hijacking i ryzyka ekosystemu

Ciekawy element to detekcje skupione na:

  • nadpisywaniu ~/.bashrc, ~/.ssh/authorized_keys, ~/.gitconfig (trwała kontrola nad środowiskiem),
  • typosquattingu repozytoriów/źródeł,
  • podejrzanych rejestrach kontenerów,
  • „userinfo” w URL-ach (np. user:pass@host) i shortenerach.

Praktyczne konsekwencje / ryzyko

Dla zespołów Dev/DevOps/SRE największy problem to automatyzm: kopiuj-wklej z dokumentacji, GitHub Issues, Slacka, ticketu, Stack Overflow, a nawet z „fixa” podanego przez rzekomy support. Jedno wklejenie może:

  • uruchomić droppera z fałszywej domeny (homoglyph),
  • ukryć prawdziwy cel przez znaki niewidzialne lub ANSI,
  • dołożyć trwały backdoor przez modyfikację dotfiles,
  • wyciągnąć sekrety (tokeny w ENV, SSH agent forwarding, cloud creds),
  • zainfekować pipeline (gdy komenda jest odpalana na runnerach CI).

Ważny szczegół praktyczny: wg opisu BleepingComputer, Tirith nie podpina się do cmd.exe, a więc nie „załatwi” wszystkich scenariuszy na Windows, jeśli atak bazuje na klasycznym Command Prompt.

Rekomendacje operacyjne / co zrobić teraz

  1. Wprowadź barierę techniczną w CLI
  • Jeśli pracujesz intensywnie w terminalu (dev/ops), rozważ wdrożenie Tirith jako „guard rail” na stacjach roboczych oraz bastionach administracyjnych, szczególnie tam, gdzie często wkleja się komendy.
  1. Zmień nawyki wokół „curl | bash”
  • Standard: pobierz do pliku → obejrzyj → zweryfikuj sumy/podpis → dopiero uruchom.
  • W CI: unikaj dynamicznych install-scriptów z sieci; preferuj wersjonowane artefakty, lockfile, repozytoria o kontrolowanej reputacji.
  1. Ogranicz powierzchnię Unicode tam, gdzie to możliwe
  • W politykach wewnętrznych (np. dokumentacja) zalecaj kopiowanie komend z repo firmowego, a nie z losowych wątków.
  • W narzędziach bezpieczeństwa i review uwzględniaj ryzyka „confusables” (UTS #39).
  1. Defense-in-depth
  • EDR/AV + kontrola uruchomień (AppLocker/WDAC na Windows, systemy allow-listing na Linux/macOS).
  • Minimalne uprawnienia: ogranicz możliwość zapisu do newralgicznych plików (dotfiles) tam, gdzie to realne.
  • Separuj konteksty: admin shell vs user shell; osobne profile/VM dla zadań wysokiego ryzyka.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Przeglądarki vs terminal: przeglądarki mają „świadomość URL” jako obiektu bezpieczeństwa; terminal jest z założenia „głupi” i renderuje tekst. Tirith próbuje wypełnić tę lukę, dodając analizę ryzyk na etapie wykonywania komendy.
  • Trojan Source vs CLI attacks: Trojan Source pokazał, że Unicode może wprowadzić rozjazd między percepcją a interpretacją w kodzie źródłowym; w CLI stawka jest podobna, tylko skutki bywają natychmiastowe (uruchomienie komendy zamiast „ukrytej intencji”).

Podsumowanie / kluczowe wnioski

Tirith jest ciekawą odpowiedzią na realny problem: terminal nadal nie ma natywnych mechanizmów obrony przed homografami, znakami niewidzialnymi i częścią wstrzyknięć wizualnych. Podejście „hook w powłoce + lokalna analiza regułowa” może skutecznie zmniejszyć ryzyko incydentu wynikającego z jednego, pechowego copy-paste.

Nie zastąpi to higieny operacyjnej (review skryptów, ograniczanie uprawnień, kontrola uruchomień), ale jako warstwa „ostatniej szansy” przed Enterem — ma sens szczególnie tam, gdzie presja czasu i automatyzmy są codziennością.

Źródła / bibliografia

  • BleepingComputer: „New tool blocks imposter attacks disguised as safe commands” (8 lutego 2026). (BleepingComputer)
  • Repozytorium projektu Tirith (README, instalacja, kategorie detekcji). (GitHub)
  • Unicode Consortium: UTS #39 „Unicode Security Mechanisms” (confusables, mixed-script). (unicode.org)
  • IETF: RFC 3492 „Punycode” (IDN/ASCII encoding, kontekst domen międzynarodowych). (datatracker.ietf.org)
  • Boucher & Anderson: „Trojan Source: Invisible Vulnerabilities” (Unicode/bidi jako klasa problemu bezpieczeństwa). (arXiv)

Metro4Shell (CVE-2025-11953): krytyczna luka w React Native Metro aktywnie wykorzystywana do przejęć środowisk deweloperskich

Wprowadzenie do problemu / definicja luki

CVE-2025-11953 (często opisywana jako „Metro4Shell”) to krytyczna podatność typu OS Command Injection w Metro Development Server uruchamianym przez React Native Community CLI. Błąd pozwala nieautoryzowanemu atakującemu z sieci wysłać specjalnie przygotowany żądanie POST i doprowadzić do wykonania poleceń/uruchomienia programu na maszynie, która wystawia Metro. Szczególnie niebezpieczne jest to, że Metro bywa uruchamiane na stacjach deweloperskich i w CI, a w praktyce zdarza się, że zostaje omyłkowo wystawione na interfejsy zewnętrzne.

W skrócie

  • Co to jest: RCE/OS command injection w Metro Dev Server (React Native Community CLI).
  • Skala / popularność: dotyczy elementu ekosystemu React Native używanego powszechnie w dev/test.
  • Status zagrożenia: obserwowano eksploatację in-the-wild m.in. od 21 grudnia 2025, z kolejnymi falami m.in. 4 i 21 stycznia 2026.
  • Poprawka: aktualizacja @react-native-community/cli-server-api do 20.0.0+ (oraz ograniczenie ekspozycji usługi).

Kontekst / historia / powiązania

Podatność została opisana publicznie na początku listopada 2025 r. w analizie JFrog (z CVSS 9.8), a w krótkim czasie pojawiły się PoC.
Kluczowy zwrot nastąpił, gdy VulnCheck wskazał, że to nie jest już „teoretyczny” problem: ich obserwacje telemetryczne/honeypotowe potwierdziły realne wykorzystanie podatności przeciwko wystawionym serwerom Metro, a aktywność utrzymywała się w kolejnych tygodniach.

Analiza techniczna / szczegóły luki

Sedno problemu to połączenie dwóch elementów:

  1. Ekspozycja Metro na sieć
    Metro Development Server może zostać uruchomiony w sposób, który powoduje bindowanie do interfejsów zewnętrznych (zamiast wyłącznie localhost), co zwiększa powierzchnię ataku.
  2. Niebezpieczny endpoint /open-url i wstrzyknięcie poleceń
    Zgodnie z opisem JFrog i NVD, endpoint obsługuje żądania POST, w których wartość wejściowa może trafić w sposób niebezpieczny do mechanizmu otwierania zasobów (funkcja open() z pakietu open), co umożliwia wykonanie poleceń/systemowych akcji.

Różnice platformowe (ważne dla IR):

  • Windows: atakujący może wykonywać dowolne polecenia OS (pełna kontrola argumentów powłoki).
  • Linux/macOS: możliwe jest uruchamianie programów z ograniczoną kontrolą parametrów (w praktyce nadal wystarcza do „droppera”/loadera).

Zaobserwowane TTP z kampanii in-the-wild (przykłady):
VulnCheck/SecurityWeek/The Hacker News opisują scenariusze, w których po wstępnym wykonaniu dochodziło do etapowego ładunku, m.in. skryptów PowerShell oraz prób osłabiania ochron (np. poprzez działania pod Microsoft Defender) i pobrania kolejnego payloadu (w opisywanych przypadkach również w Rust).

Praktyczne konsekwencje / ryzyko

Najważniejsze: to nie jest „bug w aplikacji mobilnej na produkcji”, tylko wektor wejścia w łańcuch dev → CI/CD → repo/sekrety → supply chain.

Realne skutki przejęcia stacji deweloperskiej lub runnera CI:

  • kradzież tokenów (GitHub/GitLab), kluczy SSH, sekretów z .env, access keys do chmur,
  • podmiana zależności, wstrzyknięcie backdoora do buildów, przejęcie podpisywania artefaktów,
  • lateral movement do zasobów firmowych przez VPN/SSO,
  • instalacja malware i trwałość (persistence) na hostach developerskich.

Dodatkowy problem: Metro/CLI bywa uruchamiane „na szybko” w sieci biurowej, coworku, a czasem na publicznym IP (VM/test). To dokładnie ten typ podatności, gdzie jeden błąd ekspozycji robi z narzędzia developerskiego usługę podatną na atak z Internetu.

Rekomendacje operacyjne / co zrobić teraz

Jeśli w organizacji używacie React Native:

  1. Zidentyfikuj ekspozycję Metro
  • sprawdź, czy gdziekolwiek Metro Dev Server jest osiągalny spoza localhost/VPN (stacje dev, serwery testowe, build-agenty),
  • przeskanuj segmenty sieci pod kątem usług developerskich wystawionych na portach używanych w RN/Metro (w praktyce: kontrola firewall + inwentaryzacja procesów).
  1. Zaktualizuj podatny komponent
  • podnieś @react-native-community/cli-server-api do 20.0.0 lub nowszej (w każdym projekcie, gdzie dependency występuje).
  1. Wymuś bezpieczne bindowanie
  • jeżeli nie możesz od razu zaktualizować: uruchamiaj Metro jawnie z bindowaniem do 127.0.0.1 (np. --host 127.0.0.1).
  1. Wykrywanie i IR (minimum)
  • przejrzyj logi/proxy pod nietypowe POST-y do ścieżek typu /open-url,
  • zweryfikuj, czy na hostach nie pojawiły się nietypowe procesy potomne (np. powershell, cmd, nieznane binarki w katalogach tymczasowych),
  • rotuj sekrety, jeśli istnieje podejrzenie ekspozycji Metro na sieć i brak pewności, czy endpoint był wykorzystywany.

Różnice / porównania z innymi przypadkami

CVE-2025-11953 jest podręcznikowym przykładem klasy ryzyk „dev tooling exposed to network”: serwery developerskie i endpointy „ułatwiające życie” (np. otwieranie URL, debug tooling) są projektowane jako lokalne, a w praktyce bywają routowalne w sieci. Gdy dojdzie do wystawienia poza localhost, nawet prosta podatność (lub „feature”) zamienia się w krytyczny RCE.

Wyróżnik „Metro4Shell” to praktyczna, wieloplatformowa ścieżka initial access oraz potwierdzona eksploatacja w czasie, gdy część dyskusji publicznej nadal traktowała temat jako hipotetyczny.

Podsumowanie / kluczowe wnioski

  • To aktywnie wykorzystywana luka RCE (OS command injection) w Metro Dev Server, powiązana z React Native Community CLI.
  • Ryzyko dotyczy przede wszystkim stacji developerskich i CI, czyli miejsc, gdzie znajdują się sekrety i dostęp do pipeline’ów.
  • Najszybsza i najlepsza redukcja ryzyka: aktualizacja do 20.0.0+ oraz twarde ograniczenie ekspozycji (localhost/firewall).

Źródła / bibliografia

  • BleepingComputer — „Hackers exploit critical React Native Metro bug to breach dev systems” (03.02.2026). (BleepingComputer)
  • JFrog — „Critical RCE Vulnerability CVE-2025-11953 Puts React Native Developers at Risk” (04.11.2025). (JFrog)
  • VulnCheck — „Metro4Shell: Exploitation of React Native’s Metro Server in the Wild” (03.02.2026). (VulnCheck)
  • NVD (NIST) — CVE-2025-11953 (rekord CVE, opis i wektory/CVSS od CNA). (nvd.nist.gov)
  • SecurityWeek — „Critical React Native Vulnerability Exploited in the Wild” (03.02.2026). (SecurityWeek)

Cyberatak Na Polską Energetykę W Grudniu 2025 – Analiza Techniczna, Wipery I Problem Atrybucji

Kontekst ataku na infrastrukturę energetyczną

Grudzień 2025: Polska staje się celem skoordynowanego cyberataku wymierzonego w sektor energetyczny. Atak objął ponad 30 farm wiatrowych i fotowoltaicznych, dużą elektrociepłownię zaopatrującą ~500 tys. mieszkańców oraz firmę z sektora przemysłowego. Wszystkie działania miały charakter czysto destrukcyjny – cyberatak porównano do celowego podpalenia, zwłaszcza że nastąpił w okresie silnych mrozów i zamieci śnieżnych tuż przed Nowym Rokiem.

Czytaj dalej „Cyberatak Na Polską Energetykę W Grudniu 2025 – Analiza Techniczna, Wipery I Problem Atrybucji”

eScan: złośliwa aktualizacja z oficjalnego serwera. Co wiemy o ataku supply chain i jak reagować

Wprowadzenie do problemu / definicja luki

Ataki typu supply chain (łańcuch dostaw) są jednymi z najtrudniejszych do wykrycia, bo wykorzystują zaufany kanał dystrybucji — np. aktualizacje producenta. W opisywanym incydencie użytkownicy eScan otrzymali złośliwy komponent poprzez legalną infrastrukturę aktualizacji, po tym jak napastnicy uzyskali nieautoryzowany dostęp do regionalnej konfiguracji serwera aktualizacji.

W skrócie

  • Dystrybucja złośliwego pliku miała miejsce 20 stycznia 2026 i trwała ok. 2 godziny w ramach jednego regionalnego klastra aktualizacji.
  • Wektorem był podmieniony komponent Reload.exe, uruchamiający wieloetapowy łańcuch infekcji.
  • Malware modyfikował m.in. plik HOSTS i ustawienia/konfigurację produktu tak, by odciąć ofiarę od aktualizacji (czyli utrudnić samo-naprawę przez update).
  • Wymagana była ręczna remediacja (manualny patch/narzędzie od producenta), bo automatyczne aktualizacje na zainfekowanych hostach mogły nie zadziałać.

Kontekst / historia / powiązania

Incydent został nagłośniony publicznie 29 stycznia 2026 przez Morphisec, a następnie szerzej opisany przez media branżowe. Producent, MicroWorld Technologies, wydał advisory (ESCAN-2026-001), klasyfikując zdarzenie jako incident infrastrukturalny (nie wada produktu), ograniczony do części klientów korzystających z konkretnego klastra regionalnego.

Warto też odnotować, że temat nadużycia mechanizmu aktualizacji eScan przewijał się już wcześniej: w 2024 r. obserwowano kampanie, w których mechanizm aktualizacji miał zostać wykorzystany do implantowania backdoorów w środowiskach firmowych.

Analiza techniczna / szczegóły luki

1) Wejście: trojanizowana aktualizacja i podmiana komponentu

Wg analiz, atak startował od dostarczenia złośliwej wersji Reload.exe (komponent 32-bit), umieszczonej w ścieżce instalacyjnej produktu (m.in. C:\Program Files (x86)\escan\reload.exe).
Producent potwierdził, że do „ścieżki dystrybucji aktualizacji” trafił nieautoryzowany plik w wyniku dostępu do konfiguracji regionalnego serwera.

2) Co robił malware: odcięcie od aktualizacji + utrzymanie dostępu

Kluczowym elementem była sabotacja aktualizacji: modyfikacje HOSTS i elementów konfiguracji/rejestru miały blokować kontakt z serwerami update i utrudniać automatyczne „samoleczenie” po stronie AV.
Dodatkowo obserwowano mechanizmy persistence (np. zadania Harmonogramu zadań) oraz pobieranie kolejnych etapów/payloadów z infrastruktury C2.

3) Etapy łańcucha infekcji (w uproszczeniu)

  • Stage 1: podmieniony Reload.exe uruchamia kolejne elementy łańcucha.
  • Stage 2/3: downloader/backdoor (w raportach pojawia się m.in. CONSCTLX.exe) — utrzymanie dostępu, komunikacja z C2, możliwość dogrywania kolejnych ładunków.
  • W analizie technicznej wskazano też uruchamianie payloadów PowerShell (z elementami obejścia AMSI) oraz zmiany w rejestrze i wyjątkach AV.

4) Przykładowe IOCs / artefakty

C2 / adresy do blokowania (wskazywane w materiałach producenta i analizach):

  • vhs.delrosal.net
  • tumama.hns.to
  • 504e1a42.host.njalla.net
  • 185.241.208.115

Artefakty na hoście:

  • zmieniony plik HOSTS (mapowanie domen update na „fałszywy” adres/IP),
  • nietypowe zadania Harmonogramu zadań (np. nazwy typu „CorelDefrag”),
  • obecność/uruchomienia Reload.exe w podejrzanym oknie czasowym oraz plików downloader/backdoor.

Uwaga praktyczna: część wskaźników (np. hashe) jest wprost podana w biuletynie Morphisec — warto zasilić nimi EDR/SIEM do polowania (threat hunting).

Praktyczne konsekwencje / ryzyko

  1. Utrata zaufania do kanału aktualizacji – użytkownik otrzymuje malware „podpisany autorytetem” aktualizacji. Nawet jeśli podpis był raportowany jako nieprawidłowy w narzędziach, w praktyce wiele środowisk i tak ufa kanałowi update.
  2. Ryzyko backdoora i dogrywania kolejnych payloadów – jeśli końcowy etap działa jako backdoor/persistent downloader, zagrożenie nie kończy się na jednorazowej infekcji.
  3. Blokada aktualizacji = dłuższe okno kompromitacji – modyfikacje HOSTS/konfiguracji mogą uniemożliwić szybkie wypchnięcie poprawki przez producenta i wymuszają działania ręczne.
  4. Koszty operacyjne dla IT/SOC – identyfikacja hostów z „feralnego” klastra i okna czasowego + ręczna remediacja na endpointach (zwłaszcza w enterprise) potrafi być czasochłonna.

Rekomendacje operacyjne / co zrobić teraz

Poniżej podejście „incident response ready” dla organizacji, które mogły korzystać z eScan w tym czasie.

1) Szybka triage: czy jesteś w grupie ryzyka?

  • Sprawdź, czy 20.01.2026 wystąpiły błędy aktualizacji i/lub komunikaty „update unavailable”.
  • Zweryfikuj, czy hosty korzystały z regionalnego klastra aktualizacji (jeśli masz takie logi / telemetry). Producent wskazuje, że dotyczyło to ograniczonej grupy klientów i jednego klastra.

2) Detekcja na endpointach (EDR/SIEM)

  • Poluj na artefakty: modyfikacje HOSTS, podejrzane zadania Harmonogramu, uruchomienia Reload.exe i obecność powiązanych plików (np. CONSCTLX).
  • Zasil EDR IOC (hashe i domeny) z biuletynu Morphisec oraz danych producenta.

3) Kontrola ruchu sieciowego

  • Zablokuj domeny/adresy C2 na firewall/DNS (producent podaje listę blokad jako dodatkową ostrożność).

4) Remediacja

  • Jeśli obserwujesz symptomy (błędy aktualizacji, zmiany HOSTS/konfig), producent rekomenduje kontakt z supportem i użycie narzędzia/patcha remediacyjnego (manualnie).
  • Po remediacji zweryfikuj: przywrócony update, brak błędów, aktualne definicje, brak podejrzanych zadań i brak połączeń do wskazanej infrastruktury.

5) Wnioski długoterminowe (hardening procesu aktualizacji)

  • Segmentuj ruch aktualizacji i monitoruj odstępstwa (nietypowe domeny, nieoczekiwane wykonywalne w ścieżkach AV).
  • Rozważ politykę allow-list dla aktualizacji (tam gdzie to realne) oraz dodatkową walidację podpisów/artefaktów w pipeline wdrożeń.
  • Ustal playbook „compromised update channel”: odcięcie, triage, hunting, ręczne paczkowanie fixów, komunikacja.

Różnice / porównania z innymi przypadkami

  • W wielu incydentach supply chain celem jest „cichy” dostęp (backdoor) — tutaj dodatkowym, bardzo praktycznym elementem była sabotacja aktualizacji, która utrudnia automatyczne wypchnięcie naprawy i wydłuża czas ekspozycji.
  • Producent mocno akcentuje, że nie była to „luka w produkcie”, tylko kompromitacja infrastruktury aktualizacji. Z perspektywy obrony (SOC/IR) efekt jest jednak podobny: zaufany kanał dostarczył nieautoryzowaną treść na endpointy.

Podsumowanie / kluczowe wnioski

  • To klasyczny (i szczególnie groźny) scenariusz supply chain: update jako nośnik infekcji.
  • Incydent był ograniczony czasowo (ok. 2h) i infrastrukturalnie (regionalny klaster), ale skutki obejmowały backdoor/pobieranie payloadów oraz blokadę aktualizacji, co wymuszało działania manualne.
  • Najważniejsze operacyjnie: szybko wyłapać hosty z okna czasowego, wdrożyć IOC hunting, zablokować C2 oraz wykonać remediację narzędziem producenta tam, gdzie wystąpiły symptomy.

Źródła / bibliografia

  • SecurityWeek – opis incydentu i stanowisk stron. (SecurityWeek)
  • Morphisec – biuletyn techniczny + IOC i zalecenia. (Morphisec)
  • Kaspersky / Securelist – analiza techniczna łańcucha infekcji. (Securelist)
  • eScan Security Advisory (ESCAN-2026-001) – oficjalne informacje producenta, zakres, ryzyko, remediacja i blokady sieciowe.
  • BleepingComputer – potwierdzenie incydentu, szczegóły dot. okna dystrybucji i obserwowane C2. (BleepingComputer)

Mandiant: ShinyHunters eskalują vishing i „kradzież MFA”, by przejmować SSO i okradać SaaS z danych

Wprowadzenie do problemu / definicja luki

Opisany przez Mandiant przypadek nie dotyczy „magicznej” podatności w chmurze ani błędu w samych platformach SaaS. To klasyczna, ale coraz lepiej „uzbrajana” socjotechnika: vishing (voice phishing) + strony podszywające się pod firmowe portale logowania, które wyciągają od ofiary jednocześnie hasło/SSO i kody MFA lub doprowadzają do zarejestrowania nowego urządzenia MFA kontrolowanego przez atakującego.

Atak działa, bo „człowiek w pętli” potrafi zatwierdzić wszystko, jeśli uwierzy, że rozmawia z IT/Helpdeskiem — a nowa generacja phishing kitów potrafi w czasie rzeczywistym dopasować to, co widzi ofiara w przeglądarce, do scenariusza rozmowy.

W skrócie

  • Google Threat Intelligence Group śledzi aktywność pod kilkoma klastrami: UNC6661, UNC6671 oraz UNC6240 (powiązywany z marką ShinyHunters).
  • Kampanie (wczesny–połowa stycznia 2026) polegają na podszywaniu się pod IT i kierowaniu pracowników na „victim-branded” strony kradnące SSO/MFA.
  • Po wejściu do środowiska atakujący „pivotują” do aplikacji SaaS i masowo wyciągają dane (m.in. dokumenty i komunikację), a następnie przechodzą do wymuszeń/ekstorsji.
  • Kluczowy wniosek obronny: MFA odporne na phishing (FIDO2/passkeys/FastPass) znacząco ogranicza skuteczność tego modelu ataku.

Kontekst / historia / powiązania

Wg Mandiant obserwujemy „rozszerzenie i eskalację” taktyk kojarzonych z wymuszeniami ShinyHunters: rośnie zakres atakowanych platform chmurowych, a presja na ofiarę obejmuje nie tylko e-maile z żądaniem okupu, ale też nękanie personelu i (w niektórych przypadkach) elementy presji operacyjnej.

Ważne jest też rozdzielenie „marki” od wykonawców: GTIG podkreśla, że śledzi aktywność jako kilka klastrów m.in. po to, by uwzględnić różne partnerstwa i możliwość podszywania się pod wcześniej znane TTP.

Równolegle Okta opisuje ewolucję phishing kitów „pod rozmowę telefoniczną” (vishing), które realnie zwiększają skalę tego typu ataków, bo pozwalają atakującemu sterować przebiegiem logowania ofiary niemal jak operatorem „z pulpitu”.

Analiza techniczna / szczegóły luki

1) Łańcuch ataku (high level)

  1. Recon + wybór celu (użytkownicy, aplikacje, numery infolinii/IT).
  2. Vishing: telefon „z IT” z pretekstem aktualizacji ustawień MFA / bezpieczeństwa.
  3. Victim-branded phishing: ofiara trafia na stronę przypominającą firmowy portal i wpisuje dane.
  4. Synchronizacja w czasie rzeczywistym: atakujący na bieżąco wprowadza przechwycone dane do prawdziwego loginu, wywołuje wyzwania MFA i instruuje ofiarę, co ma zatwierdzić/wpisać.
  5. Utrwalenie: rejestracja urządzenia MFA kontrolowanego przez atakującego lub przejęcie sesji/OAuth.
  6. Drenaż SaaS: dostęp do danych zależny od uprawnień skompromitowanej sesji SSO (często oportunistycznie).
  7. Ekstorsja: żądanie okupu, groźby publikacji, dowody kradzieży danych.

2) Klastry i różnice w TTP

  • UNC6661: wczesny–połowa stycznia 2026; domeny phishingowe często w formacie <companyname>sso.com / <companyname>internal.com; rejestracje często u NICENIC; widoczny „post-exploitation” w SaaS oraz przypadki wykorzystania przejętej poczty do dalszego phishingu (np. do podmiotów z branży kryptowalut).
  • UNC6671: podobny model vishing + „victim-branded” strony, ale domeny częściej rejestrowane przez Tucows; dodatkowo Mandiant widział użycie PowerShell do pobierania wrażliwych danych z SharePoint i OneDrive; ekstorsja bywała niebrandowana i z innym Tox ID, a nękanie personelu pojawiało się jako element presji.

3) Co konkretnie jest celem w SaaS?

Mandiant opisuje wykradanie danych i komunikacji z różnych usług SaaS (w przykładach i logach pojawiają się m.in. ekosystem Microsoft 365, Salesforce oraz DocuSign). W części przypadków atakujący wykonywali też wyszukiwania pod kątem „cennych słów kluczowych” (np. „confidential”, „proposal”, „vpn”), co sugeruje selekcję danych pod presję/ekstorsję.

4) Maskowanie śladów i „living off the land”

Ciekawy detal operacyjny: w co najmniej jednym incydencie, po przejęciu konta klienta Okta, atakujący autoryzował dodatek ToogleBox Recall w Google Workspace i usuwał wiadomości mogące ujawnić rejestrację nowego sposobu MFA („Security method enrolled”). To typowy przykład „ciszy po zalogowaniu” zamiast klasycznego malware.

Praktyczne konsekwencje / ryzyko

  • To nie jest „zwykły phishing”: prawdziwym przełomem jest sterowanie sesją ofiary w czasie rzeczywistym, co zwiększa skuteczność nawet przeciwko „lepszemu MFA”, jeśli nie jest ono phishing-resistant.
  • Ryzyko eskalacji przez SSO: pojedyncza udana rozmowa + SSO potrafią dać „szeroki wachlarz” aplikacji do przeszukania i eksportu danych.
  • Ekstorsja bez ransomware: model „data theft + szantaż” omija część klasycznych zabezpieczeń endpointowych, a presja czasu (np. ultimatum 72h w opisywanych przypadkach) wymusza szybkie decyzje kryzysowe.

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań „tu i teraz” wprost pod ten typ kampanii (priorytetyzacja zgodna z rekomendacjami Mandiant + wnioskami Okta):

1) Natychmiastowe działania (containment)

  • Odwołaj aktywne sesje i tokeny: wymuś wylogowanie, unieważnij tokeny sesyjne i autoryzacje OAuth w IdP oraz kluczowych SaaS.
  • Zablokuj operacje wysokiego ryzyka: ogranicz (czasowo lub politykami) reset haseł, rejestrację nowych urządzeń MFA i zmiany metod MFA — to dokładnie te procesy, które vishing „podrabia”.
  • Przejrzyj rejestracje urządzeń/MFA i uprawnienia adminów w IdP (szczególnie niespodziewane przypisanie ról, anomalie geolokacji, logowania z sieci anonimizujących).

2) Utwardzenie (hardening) pod vishing

  • Wymuś phishing-resistant MFA: FIDO2/passkeys lub rozwiązania typu FastPass (tam, gdzie to ma sens). Push/SMS/OTP są podatne na „przegadanie” ofiary przez telefon.
  • Zasady sieciowe i strefy zaufania: tam gdzie możliwe, ogranicz logowania i akcje administracyjne do znanych lokalizacji/stref (allowlist), a ruch z usług anonimizujących traktuj jako sygnał do polowania (hunting), niekoniecznie automatycznego blokowania „w ciemno”.
  • Proces „call-back” dla IT: jeśli pracownik dostaje telefon „z IT”, powinien oddzwonić na numer z firmowej książki/portalu, nie na numer z wyświetlacza. To proste, ale nadal ekstremalnie skuteczne przeciw vishingowi (a często pomijane).

3) Detekcja i monitoring (SOC)

  • Poluj na wzorce: „MFA device enrolled”, nietypowe logowania do konsoli admina IdP, masowe pobrania z SharePoint / OneDrive, użycie PowerShell do pobierania plików, autoryzacje podejrzanych aplikacji OAuth (np. ToogleBox Recall).
  • Kontrola domen podobnych do marki: rejestracje w stylu my<company>sso[.]com, <company>support[.]com, <company>okta[.]com, literówki typu acess.
  • Zweryfikuj, czy Twoje alerty obejmują nietypowe wolumeny pobrań i wyszukiwania po „wrażliwych słowach” w SaaS.

Różnice / porównania z innymi przypadkami

  • „MFA fatigue” vs. „MFA steering”: tu nie chodzi o zalewanie pushami aż ofiara kliknie — chodzi o pełną reżyserię logowania, gdzie kit phishingowy zmienia ekrany w idealnym tempie pod rozmowę. To jakościowo inny poziom „wiarygodności” ataku.
  • Ransomware niepotrzebne: jeżeli organizacja ma dojrzałe backupy i EDR, atakujący nadal może wygrać, kradnąc dane z SaaS i stosując presję reputacyjną/prawną.
  • Brak CVE jako „punktu wejścia”: to kampania oparta o procesy (helpdesk, reset MFA) i zachowania ludzi, dlatego testy podatności aplikacji nie wystarczą — potrzebne są ćwiczenia i polityki IAM.

Podsumowanie / kluczowe wnioski

  1. Kampanie przypisywane klastrom powiązanym z marką ShinyHunters pokazują, że vishing stał się pełnoprawnym wektorem initial access do SSO i SaaS — często skuteczniejszym niż klasyczny e-mailowy phishing.
  2. „Zwykłe MFA” nie wystarcza, jeśli nie jest odporne na phishing: FIDO2/passkeys/FastPass realnie podnoszą poprzeczkę.
  3. Obrona musi koncentrować się na sesjach, tokenach, rejestracji urządzeń MFA, logowaniu i detekcji anomalii w SaaS — a nie na poszukiwaniu „jednej podatności”.

Źródła / bibliografia

  • Mandiant – „Vishing for Access: Tracking the Expansion of ShinyHunters-Branded SaaS Data Theft” (30 stycznia 2026). (Google Cloud)
  • Mandiant – „Proactive Defense Against ShinyHunters-Branded Data Theft Targeting SaaS” (30 stycznia 2026). (Google Cloud)
  • Okta – „Phishing kits adapt to the script of callers” (22 stycznia 2026). (Okta)
  • BleepingComputer – omówienie kampanii i wątków dot. vishing + MFA/SSO (31 stycznia 2026). (BleepingComputer)
  • The Hacker News – streszczenie ustaleń Mandiant (31 stycznia 2026). (The Hacker News)

Polska wskazuje Static Tundra jako sprawcę destrukcyjnych ataków na energetykę z 29 grudnia 2025 – co wiemy o DynoWiper, FortiGate i wektorach OT/IT

Wprowadzenie do problemu / definicja luki

29 grudnia 2025 r. w Polsce odnotowano skoordynowaną serię ataków o czysto destrukcyjnym celu (w raporcie porównywaną do „cyfrowego podpalenia”). Kampania objęła ponad 30 farm wiatrowych i fotowoltaicznych, firmę z sektora produkcyjnego oraz dużą elektrociepłownię (CHP) dostarczającą ciepło dla ok. pół miliona odbiorców. Kluczowe jest to, że incydent dotknął jednocześnie środowisk IT i OT, co nadal jest rzadkością w publicznie opisywanych zdarzeniach.

Wąskim gardłem nie była „jedna magiczna luka CVE”, tylko kombinacja: ekspozycja zdalnego dostępu, słabe uwierzytelnianie (w tym brak MFA), odziedziczone konfiguracje i praktyki (np. powtarzanie kont/ haseł między lokalizacjami), a następnie konsekwentna automatyzacja działań destrukcyjnych w sieciach stacyjnych/zakładowych.

W skrócie

  • Ataki z 29.12.2025 były skoordynowane i nastawione na sabotaż (niszczenie danych/urządzeń), a nie ransomware.
  • Wektor na obiektach OZE: urządzenia FortiGate jako VPN/firewall z wystawionym interfejsem VPN do Internetu, bez MFA; dodatkowo pojawia się wątek reuse’owania poświadczeń między obiektami.
  • W OT obserwowano m.in. działania na RTU/HMI: użycie domyślnych danych logowania (np. na kontrolerach) i próby uszkadzania/wymazywania systemów oraz elementów sterowania.
  • CERT Polska przypisał aktywność klastrowi Static Tundra (powiązywanemu z FSB / Center 16), podczas gdy część analiz zewnętrznych (m.in. ESET) wskazuje na możliwe związki z Sandworm.
  • Rząd podkreśla, że Polska obroniła się przed skutkami typu blackout, ale incydent potraktowano jako sygnał do dalszego wzmacniania systemu.

Kontekst / historia / powiązania

W ostatnich latach granica między „APT do szpiegostwa” a „APT do sabotażu” coraz częściej się zaciera. W tym incydencie istotne są dwa równoległe wątki:

  1. Atrybucja państwowa: według informacji opisywanych publicznie, strona polska wskazuje na rosyjską służbę (FSB) jako prawdopodobnego sprawcę, a sam incydent miał miejsce w okresie niskich temperatur i śnieżyc, co zwiększało potencjalną presję operacyjną na energetykę i ciepłownictwo.
  2. Spór o „kto dokładnie”: CERT przypisuje kampanię klastrowi Static Tundra, natomiast część badaczy zwraca uwagę na podobieństwa wipera DynoWiper do wcześniejszych narzędzi kojarzonych z Sandworm (w tym do wipera nazwanego przez ESET „ZOV”). To klasyczny przypadek, gdzie malware similarity ≠ jednoznaczna atrybucja, bo narzędzia i techniki mogą być współdzielone, odsprzedawane lub kopiowane.

Analiza techniczna / szczegóły luki

1) OZE i punkt przyłączenia (GCP): FortiGate jako brama wejścia

Raport wskazuje, że w badanych obiektach OZE urządzenia typu FortiGate pełniły rolę koncentratora VPN i firewalla. W każdym przypadku interfejs VPN był wystawiony do Internetu i dopuszczał uwierzytelnianie kontami z konfiguracji bez MFA. Ze względu na destrukcję, nie zawsze udało się odzyskać komplet logów, ale z analizy wynika, że część urządzeń bywała w przeszłości podatna (w tym na klasy błędów umożliwiających RCE) przez dłuższe okresy.

Dodatkowo pojawia się ważna obserwacja operacyjna: w branży ma być powszechne powtarzanie kont i haseł między wieloma lokalizacjami. To oznacza, że kompromitacja jednego obiektu może stać się „kluczem głównym” do kolejnych.

2) OT: RTU, przekaźniki zabezpieczeniowe, HMI – sabotaż zamiast tylko IT

W części środowisk sterowania obserwowano działania, które nie polegały wyłącznie na niszczeniu plików na stacjach roboczych, ale również na destabilizacji komponentów OT (np. poprzez logowanie z domyślnymi poświadczeniami i wykonywanie komend destrukcyjnych na kontrolerach). To szczególnie niebezpieczne, bo „wymazanie” lub uszkodzenie urządzeń OT może wymagać interwencji terenowej i wydłużać czas odtworzenia usług.

3) Wipery i dystrybucja: DynoWiper i LazyWiper oraz GPO/PowerShell

CERT opisuje użycie wcześniej niekojarzonych rodzin wiperów, których celem było nieodwracalne niszczenie danych, bez elementu wymuszenia okupu. W raporcie rozróżniono scenariusze uruchomienia: w środowiskach OZE malware miał być odpalany bezpośrednio na maszynie HMI, a w elektrociepłowni i firmie produkcyjnej dystrybucja odbywała się w domenie Active Directory przez skrypt PowerShell uruchomiony na kontrolerze domeny (model „szybkiego rażenia” wielu hostów).

4) Firma produkcyjna: kompromitacja urządzenia brzegowego i persistence

W przypadku firmy produkcyjnej opisano dostęp przez urządzenie brzegowe Fortinet, a także modyfikacje konfiguracji, które miały zapewnić trwałość dostępu nawet po zmianach haseł (m.in. poprzez mechanizmy skryptowe na urządzeniu).

5) Atrybucja techniczna: „Static Tundra” i zastrzeżenia dot. podobieństw do Sandworm

CERT wskazuje, że infrastruktura i charakterystyki komunikacji pokrywają się z tym, co publicznie opisywano dla klastra „Static Tundra”, a jednocześnie zaznacza, że podobieństwa DynoWiper do wiperów wiązanych z Sandworm są zbyt ogólne, by same w sobie przesądzały o sprawstwie.
Z kolei ESET opisuje podobieństwa DynoWiper do ich wcześniejszych obserwacji destrukcyjnego malware przypisywanego Sandworm (ZOV), przy jednoczesnym zastrzeżeniu, że nie wszystkie elementy operacji muszą pochodzić od jednej grupy.

Praktyczne konsekwencje / ryzyko

  1. Ryzyko kaskadowe w OZE: nawet jeśli pojedyncza farma nie destabilizuje systemu, równoległe uderzenie w dziesiątki obiektów zwiększa obciążenie operatorów, czas reakcji i ryzyko błędów proceduralnych.
  2. Czas odtworzenia w OT: urządzenia sterujące, RTU czy elementy telemechaniki mogą wymagać fizycznej wymiany/ponownego wgrania firmware’u i walidacji – a to oznacza realny koszt i przestoje.
  3. Eskalacja intencji: publicznie podkreślano, że to incydent „sabotażowy” i jeden z poważniejszych tego typu w ostatnich latach. Taki sygnał zmienia model zagrożeń dla firm, które dotychczas projektowały ochronę głównie pod wyciek danych lub phishing.

Rekomendacje operacyjne / co zrobić teraz

Poniżej „checklista” w kolejności od działań o najwyższym ROI do bardziej złożonych:

1) Zdalny dostęp (VPN/edge) – natychmiastowe „higieniczne minimum”

  • Włącz MFA wszędzie, gdzie jest zdalny dostęp administracyjny lub operatorski (VPN, portale, jump-hosty). Brak MFA pojawia się wprost jako element ryzyka.
  • Wymuś unikalne konta i hasła per obiekt (koniec z re-use między farmami/lokalizacjami).
  • Audyt urządzeń brzegowych: aktualizacje, przegląd ekspozycji usług, usunięcie „starych” reguł i kont technicznych.

2) Segmentacja IT/OT i kontrola ścieżek lateral movement

  • Odseparuj domenę/AD od stref OT (lub przynajmniej twardo kontroluj relacje zaufania, konta serwisowe i ścieżki RDP/SMB).
  • W OT: dopuszczaj tylko niezbędne protokoły i kierunki komunikacji; rozważ jump-serwery z silnym uwierzytelnianiem i pełnym logowaniem.

3) Eliminacja domyślnych poświadczeń i twardnienie urządzeń OT

  • Usuń domyślne hasła/konta na RTU/HMI i urządzeniach pośredniczących (to w raporcie pojawia się jako realny wektor destrukcji).
  • Włącz i egzekwuj mechanizmy weryfikacji firmware (tam, gdzie dostępne) oraz kontroluj proces aktualizacji i źródła obrazów.

4) Odporność na wipery

  • Kopie zapasowe offline/immutable + testy odtworzenia (nie „mamy backup”, tylko RTO/RPO na stole).
  • EDR/monitoring na kontrolerach domeny i serwerach zarządzających: wykrywanie nietypowych działań PowerShell/GPO, masowych modyfikacji polityk, nietypowych zadań harmonogramu itp. (w raporcie opisano dystrybucję przez skrypt i domenę).

5) Przygotowanie organizacyjne

  • Scenariusze IR dla sabotażu (wiper/OT): procedury izolacji, odcięcia zdalnego dostępu, przełączeń ręcznych, kontaktów vendor/PSIRT.
  • W sektorze energii: ćwiczenia „table-top” łączące zespoły SOC + automatycy + utrzymanie ruchu.

Różnice / porównania z innymi przypadkami

Static Tundra (FSB) vs Sandworm (GRU) w tym incydencie sprowadza się do pytania: czy obserwujemy „nową fazę” tej samej grupy, współdzielenie narzędzi, czy operację mieszaną?

  • CERT argumentuje atrybucję do klastra Static Tundra m.in. na podstawie infrastruktury i jej charakterystyk, jednocześnie traktując podobieństwa DynoWiper do narzędzi sandwormowych jako niewystarczające do twardej identyfikacji.
  • ESET widzi techniczne podobieństwa DynoWiper do ZOV i łączy je z Sandworm, ale też dopuszcza, że elementy operacji mogły być rozdzielone między różne podmioty.
  • Publiczne doniesienia podkreślają, że polskie władze wskazały na FSB jako prawdopodobnego sprawcę, a sama operacja była postrzegana jako eskalacja w stronę działań destrukcyjnych.

W praktyce dla obrońców wniosek jest prosty: modeluj zagrożenie po TTP, nie po etykiecie grupy. Jeśli masz ekspozycję VPN bez MFA, re-use poświadczeń i słabą separację IT/OT – „kto” jest drugorzędne wobec „jak szybko może to powtórzyć ktoś inny”.

Podsumowanie / kluczowe wnioski

  • To był incydent, w którym sabotaż cyfrowy dotknął jednocześnie IT i OT, a celem było niszczenie, nie zysk.
  • Najbardziej „przyziemne” problemy (MFA, unikalne hasła, ekspozycja VPN, domyślne konta) okazały się krytyczne w skali krajowej.
  • Atrybucja (Static Tundra vs Sandworm) jest ważna politycznie, ale operacyjnie kluczowe są powtarzalne techniki: kompromitacja edge, ruch boczny, a potem szybka destrukcja (w tym przez mechanizmy domenowe).
  • Nawet gdy nie doszło do blackoutu, incydent pokazuje, że odporność musi obejmować wipery + OT recovery, a nie tylko ochronę przed wyciekiem danych.

Źródła / bibliografia

  1. Raport techniczny CERT: „Energy Sector Incident Report – 29 December 2025”. (cert.pl)
  2. Artykuł: The Hacker News – podsumowanie i kontekst (DynoWiper/LazyWiper, wątki FortiGate, przypisanie do Static Tundra). (The Hacker News)
  3. Analiza: ESET – „DynoWiper update: Technical analysis and attribution”. (welivesecurity.com)
  4. Komunikat rządowy: Gov.pl – o odparciu ataku i działaniach wzmacniających. (Gov.pl)
  5. Depesza: Reuters – wątek przypisania i komentarze ekspertów. (Reuters)