ИБ-исследователи из Dragos опубликовали отчет об инциденте, произошедшем 29 декабря 2025 года в Польше. Атаке подверглись около 30 объектов распределенной энергетики (DER), включая ветряки, солнечные станции и ТЭЦ. В отличие от классических сценариев с отключением электричества, целью хакеров стало физическое уничтожение логики управления, что привело к необратимому выходу оборудования из строя.
Технические детали атаки
* Разделение ролей (Access vs Impact): Группа KAMACITE (связанная с Sandworm) обеспечила первичный доступ через фишинг и уязвимые сервисы, после чего передала управление ударной бригаде ELECTRUM для выполнения действий над OT-сегментом.
* «Окирпичивание» контроллеров: Злоумышленники модифицировали прошивки RTU (Remote Terminal Units) и контроллеров, переводя устройства в статус «disabled beyond repair». Восстановление удаленно стало невозможным.
* Антифорензика: Для затруднения расследования хакеры вайпали (полностью стирали) рабочие станции Windows операторов, уничтожая журналы событий и следы проникновения.
Последствия и выводы
* Необходимость физической замены: Из-за атаки на уровне прошивок инженеры были вынуждены физически менять оборудование в стойках, что в текущих условиях осложняется логистикой поставок.
* Уязвимость распределенных сетей: Инцидент стал первым крупным примером массовой атаки именно на объекты распределенной генерации (DER), которые часто имеют менее строгую защиту, чем магистральные сети.
* Критичность изоляции: Единственной надежной защитой от подобных атак остается строгая изоляция технологического сегмента, использование VPN для RTU и минимизация торчащих наружу интерфейсов.
⬇️Поддержать автора⬇️
✅SBER: 2202 2050 1464 4675