Prorosyjscy hakerzy zaatakowali duńską energetykę

Zaatakowane strony należały do Elnet selskabet N1 (regionalnego operatora sieci dystrybucyjnej), Energinet (operatora systemu przesyłowego) oraz Energistyrelsen (państwowej agencji podlegającej duńskiemu Ministerstwu Klimatu, Energii i Usług Komunalnych).

Atak bez pompy

Ataki nie były poważne i nie doprowadziły do zauważalnej awarii funkcjonowania operatorów. Należy jednak pamiętać, że celem hakerów było pokazanie Duńczykom, że mogą włamać się do ich sieci, a jeśli zechcą - pozostać w nich, niezauważeni.

Jak zaznacza red. Dorota Kwaśniewska z CyberDefence24, powodem ataku na duński system cybernetyczny było zaangażowanie Kopenhagi w operację Eastwood - międzynarodową operację służb pod kierownictwem Europolu, przeprowadzoną w lipcu bieżącego roku w celu rozbicia oraz aresztowania grupy hakerów znanej jako NoName057(16).

Uznawani są oni za grupę APT (z ang. Advanced Persistent Threat) i od lat przeprowadzali zaawansowane ataki ukierunkowane na państwa Europejskie, w tym Polskę.

W wyniku akcji aresztowano kilku kluczowych członków organizacji oraz zabezpieczono sprzęt.

”Server Killers specjalizują się w atakach typu disturbed denial of service (DDoS) na serwery rządowe oraz infrastrukturę krytyczną” - mówi red. Kwaśniewska (CyberDefence24). W przypadku Danii, oprócz stron instytucji rządowych ofiarą padły także trzy duńskie instytucje związane z energetyką.

Check-Host.net to narzędzie online służące do sprawdzania dostępności stron internetowych, serwerów, hostów i adresów IP. Dostarcza ono dane dotyczące lokalizacji domen i adresów IP z kilku baz danych geolokalizacyjnych IP oraz whois. „Za pomocą tego narzędzia cyberprzestępcy dostarczyli dowodu „wyłączenia” stron z użytku” - dodaje red. Kwaśniewska (CyberDefence24).

W wyniku zmasowanego ataku DDoS serwer został przeciążony i chwilowo nie był w stanie obsłużyć wszystkich żądań. W tym czasie użytkownicy otrzymywali komunikat 503 Service Unavailable, oznaczający tymczasową niedostępność usługi.
red. Dorota Kwaśniewska, CyberDefence24

E24 skontaktowała się z wszystkimi trzema duńskimi instytucjami, które były narażone na atak. Po otrzymaniu informacji i sprawdzeniu systemu rzecznik prasowy Energinet Jesper Nørskov Rasmussen „wstrzymał się od komentarza”. Z kolei rzecznik prasowy Elnet selskabet N1, Frederik Schmidt, wstrzymał się od odpowiedzi do czasu sprawdzenia serwerów przez operatora.

Kopenhaga szczególnie narażona?

Na uwagę zasługuje również fakt, że do tej pory infrastruktura energetyczna została zaatakowana jedynie w Danii - w przypadku Niemiec, Belgii, Hiszpanii oraz Czech hakerzy z Server Killers skupili się wyłącznie na instytucjach publicznych oraz wojskowych.

Dania jest krajem UE z największym odsetkiem udziału OZE w systemie elektroenergetycznym - w 2024 roku energetyka wiatrowa i słoneczna odpowiadały odpowiednio za 58,2 proc. i 10,7 proc. produkcji energii elektrycznej w kraju.

Wysoki udział odnawialnych źródeł energii, które są z definicji źródłami niestabilnymi, wymaga koordynacji wielu czynników, a to z kolei wzmaga zapotrzebowanie na sprawnie działający i ściśle połączony system informatyczny. Wzrost OZE napędza elektryfikację, a ta z kolei - konieczność wysokiej informatyzacji i decentralizacji systemu.

Rosnący udział odnawialnych źródeł energii wymógł na Danii zmianę całego systemu elektroenergetycznego kraju. Podobnie jak wiele państw europejskich, Kopenhaga zaczynała od energetyki scentralizowanej. Wszystko jednak zmieniło się od momentu kryzysu paliwowego w latach 70. XX wieku i decyzji o zielonej transformacji kraju. Zaledwie w 10 lat Danii udało się znacząco zwiększyć udział OZE w miksie energetycznym, choć początkowo wielu ekspertów z pesymizmem patrzyło na kwestie integracji sieci.

Jednak Dania osiągnęła sukces. Na początku XXI wieku zdecydowano się na szeroką decentralizację systemu elektroenergetycznego, która - dzięki wysokiemu zaangażowaniu i świadomości społecznej - przyniosła oczekiwany skutek. Dzięki sprawnemu zarządzaniu interkonektorami i partycypacji Duńczyków w stabilizacji systemu, awarie zdarzają się rzadko.

Niemniej jednak nie ma rozwiązań idealnych. Jak zaznaczała red. Małgorzata Król na łamach CyberDefence24, już ponad 10 lat temu ujawniono podatności na ataki hakerskie w systemach OZE - głównie w publicznie dostępnych systemach sterujących farm wiatrowych i fotowoltaicznych.

Za pośrednictwem nieautoryzowanego dostępu można m.in. zatrzymać turbiny, przeciążyć falowniki lub spowodować awarię zasilania w całym regionie.
Małgorzata Król, CyberDefence24

Cyberwojna trwa i nie omija energetyki

Rosja nie próżnuje i w trzecim roku pełnoskalowej wojny w Ukrainie decyduje się również na ataki na energetyczną infrastrukturę krytyczną. W sierpniu bieżącego roku szefowa norweskiej państwowej agencji bezpieczeństwa PST, Beate Gangaas poinformowała, że awaria w elektrowni wodnej Bremanger z kwietnia 2025 roku została spowodowana działaniem rosyjskich hakerów.

Hakerzy przejęli sterowanie pracą śluz, otwierając jedną z nich. Zapora zaczęła w niekontrolowany sposób spuszczać wodę w tempie 500 litrów na sekundę. Usterkę udało się usunąć po czterech godzinach.

W ubiegłym roku zauważyliśmy zmianę taktyki i aktywności prorosyjskich cyberprzestępców. Ich celem nie jest od razu wywoływanie katastrof. Skupiają się na pokazaniu, do czego są zdolni, a przez to na wywoływaniu strachu wśród norweskiego społeczeństwa. Nasz rosyjski sąsiad stał się bardziej niebezpieczny.
Szefowa PST, Beate Gangaas

Wspomniana już wcześniej grupa hakerska NoName057(16) (której główni członkowie mieszkają w Rosji) również była odpowiedzialna za 14 ataków w Niemczech. „Dotknęły one około 230 organizacji, w tym fabryki broni, dostawców energii i organizacje rządowe. Ataki miały również miejsce w całej Europie podczas wyborów europejskich” - zaznacza Agencja Unii Europejskiej ds. Współpracy Wymiarów Sprawiedliwości w Sprawach Karnych.

I choć zgodnie z raportem Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) sektor energetyczny stanowił zaledwie 3 proc. całości ataków cybernetycznych w UE w latach 2023-2024 i jest całkiem dobrze przygotowany, to zdecydowanie nie może spocząć na laurach.

”Wykorzystywanie niezałatanych i przestarzałych systemów jest uważane za jedno z 10 największych pojawiających się zagrożeń w 2030 roku. Może to mieć szczególne znaczenie dla sektorów, w których duża część systemów jest przestarzała lub produkty ICT mają szczególnie długi cykl życia, np. sektor energetyczny i transportowy” - podkreślają eksperci ENISA.

Autorki: Magdalena Melke, Dorota Kwaśniewska (CyberDefence)