Атака на электросеть Польши: вредоносные прошивки и RTU

В декабре 2025 года ряд скоординированных кибератак был нацелен на электросеть Польши. Хотя непосредственный ущерб для энергосистемы оказался ограниченным, использованные методы и выбор времени — в разгар суровых погодных условий — создали высокий риск обострения ситуации и вызвали серьезную обеспокоенность экспертов по кибербезопасности.

Краткая суть инцидента

Атака была направлена на различные элементы энергетической инфраструктуры, включая ветряные и солнечные электростанции, а также комбинированную теплоэлектростанцию. Основной вектор компрометации — распределенные энергетические ресурсы (DERS), подающие электроэнергию в сеть через Grid Connection Point (GCP). Взаимодействие происходило через подстанции, где удаленные терминальные устройства (RTU) управляли обменом с системами диспетчерского управления и сбора данных (SCADA).

Как происходила компрометация: тактики, методы и процедуры (TTP)

Расследование выделило ряд характерных TTP, фокусировавшихся на уязвимостях в устройствах и незащищенных конфигурациях:

• Использование открытых веб-интерфейсов и учетных данных по умолчанию для доступа к RTU (в частности, к Hitachi RTU560).
• Загрузка вредоносной прошивки, приводившей к так называемой «жесткой» блокировке устройств.
• Эксплуатация уязвимости обхода механизма безопасного обновления («безопасного обновления»), отмеченной как CVE-2024-2617, затрагивающей прошивки до версии 13.7.7.
• Доступ по SSH к Mikronika RTU с использованием root-учеток по умолчанию и последующее стирание файловых систем.
• Эксплуатация типичных сервисов (FTP, SSH) для получения доступа к файловой системе и реализации RCE, внедрения команд или методов повреждения памяти.
• Манипуляции с приборами Moxa NPort 6000: не столько блокировка, сколько сброс к заводским настройкам и изменение конфигурации, затрудняющие восстановление и делающие устройства недоступными.

Какие устройства и платформы были задействованы

• Hitachi RTU560 — компрометация через веб-интерфейс с default credentials и загрузка вредоносной прошивки; уязвимость CVE-2024-2617 позволяла обходить механизм безопасного обновления.
• Mikronika RTU — доступ по SSH под root с default credentials, стирание файловых систем; многие целевые модели используют OMAP-платформы от Texas Instruments, что облегчало разработку вредоносных payload.
• Moxa NPort 6000 — использовались учетные данные по умолчанию, затем устройства сбрасывались и конфигурировались так, чтобы затруднить восстановление; полноценной «блокировки» не зафиксировано, но доступ был нарушен.

Отличие от DoS и последствия для восстановления

Ключевое отличие выявленных методов от классических атак типа DoS заключается в природе повреждений:

• DoS-атаки затрудняют работу и восстановление, но чаще позволяют восстановить функционирование без замены аппаратуры.
• В описанном инциденте злоумышленники применяли методы, приводящие к полному выходу устройств из строя (hard bricking), что требует физической замены или сложного восстановления на месте — процесс существенно более длительный и ресурсозатратный.

Технические векторы компрометации

Основные техники, зафиксированные в расследовании:

• Загрузка вредоносных прошивок;
• Получение доступа к файловой системе через FTP/SSH и последующая порча данных;
• Удаленное выполнение кода (RCE) и внедрение команд;
• Методы повреждения памяти и обхода механизмов безопасного обновления.

«Наличие выключенных по умолчанию механизмов безопасности и использование учетных записей с default credentials сделали ряд устройств уязвимыми к длительному и необратимому выводу из строя», — подчеркивают эксперты расследования.

Оценка риска и рекомендации

Инцидент ясно показывает, что обеспечение безопасности в среде OT должно быть приоритетом для операторов критической инфраструктуры. Конкретные рекомендации:

• Немедленно отключить или переопределить учетные записи по умолчанию и внедрить политику сильных паролей и управления доступом.
• Включить и проверить механизмы безопасного обновления («secure update») и обеспечить защиту их конфигураций; для устройств, затронутых CVE-2024-2617, — применить патчи/обновления и компенсирующие меры.
• Провести инвентаризацию всех RTU, шлюзов и коммуникационных устройств (Moxa, Mikronika, Hitachi и т.д.) с классификацией по критичности и наличию поддерживаемых версий прошивок.
• Ограничить доступ к сервисам FTP/SSH — использовать сегментацию сети, строгие ACL, jump hosts и многофакторную аутентификацию.
• Разработать и отработать планы восстановления, включая наличие запасных устройств и процедуры восстановления конфигураций, способные противостоять hard bricking.
• Внедрить средства мониторинга целостности прошивок и конфигураций, а также детектирование нестандартного поведения RTU/коммутаторов.
• Проводить регулярные OT-vulnerability assessments и тестирование процедур инцидент-менеджмента совместно с локальными DSO и поставщиками оборудования.

Вывод

Атака декабря 2025 года — тревожный сигнал для операторов энергетических систем: сочетание уязвимых устройств, отключенных механизмов безопасности и использования учетных записей по умолчанию способно превратить киберинцидент в физическую угрозу для электроснабжения, особенно в сложных погодных условиях. Повышение устойчивости требует системного подхода к безопасности OT, обновлениям, управлению доступом и готовности к восстановлению в условиях реального ущерба аппаратных компонентов.

Ключевое правило: любая критическая инфраструктура должна предполагать, что программное нарушение может перейти в физическое — и готовиться соответствующим образом.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.