Krajobraz zagrożeń APT w sektorze energetycznym
Sektor energetyczny jest jednym z najczęstszych celów grup Advanced Persistent Threat (APT) na świecie. W przeciwieństwie do cyberprzestępców motywowanych finansowo, grupy APT sponsorowane przez państwa atakują infrastrukturę energetyczną jako element strategii geopolitycznej — aby demonstrować zdolności ofensywne, wywierać presję polityczną lub przygotowywać grunt pod operacje militarne.
W 2025 roku CERT Polska odnotował rekordową liczbę incydentów związanych z aktywnością APT w polskim sektorze energetycznym. Atak DynoWiper w grudniu 2025 był kulminacją trendu narastającego od lat, ale nie jedynym przykładem systematycznego targetowania polskiej infrastruktury krytycznej.
Główne grupy APT celujące w energetykę
Sandworm (GRU, Unit 74455)
Sandworm to najbardziej destrukcyjna grupa APT w historii sektora energetycznego. Odpowiedzialna za BlackEnergy (2015), Industroyer (2016), NotPetya (2017) i Industroyer2 (2022). Specjalizuje się w atakach na europejską infrastrukturę energetyczną z użyciem dedykowanego malware OT.
Taktyki Sandworm obejmują spear-phishing z wykorzystaniem dokumentów związanych z branżą energetyczną, exploitation serwerów internetowych i VPN jako początkowy punkt dostępu, lateral movement przez Active Directory do sieci OT, deployment dedykowanego malware manipulującego protokołami energetycznymi (IEC 104, IEC 61850) oraz koordynację ataków cyber z operacjami fizycznymi.
Volt Typhoon
Chińska grupa APT skupiona na pre-positioningu w infrastrukturze krytycznej — w tym energetycznej — państw zachodnich. W odróżnieniu od Sandworm, Volt Typhoon unika destrukcji, koncentrując się na utrzymaniu długoterminowego dostępu.
Ich technika living-off-the-land (LoTL) wykorzystuje wyłącznie legalne narzędzia systemowe (PowerShell, WMI, netsh), co sprawia, że ich aktywność jest wyjątkowo trudna do wykrycia przez tradycyjne systemy bezpieczeństwa. Celują w urządzenia brzegowe — routery, firewalle, VPN — jako punkt wejścia.
XENOTIME (Triton/TRISIS)
Jedyna znana grupa APT, która bezpośrednio zaatakowała systemy Safety Instrumented Systems (SIS). W 2017 roku ich malware Triton celował w kontrolery Schneider Electric Triconex w saudyjskim zakładzie petrochemicznym, próbując wyłączyć systemy bezpieczeństwa, co mogło doprowadzić do katastrofy fizycznej.
Kill chain ataku APT na infrastrukturę energetyczną
Ataki APT na sektor energetyczny przebiegają w starannie zaplanowanych fazach, często rozciągniętych na miesiące lub lata.
Faza 1: Rekonesans (tygodnie-miesiące). Mapowanie infrastruktury IT i OT celu z wykorzystaniem OSINT. Identyfikacja systemów SCADA, producentów kontrolerów, wersji firmware. Analiza profili pracowników na LinkedIn, szczególnie inżynierów OT i operatorów systemów. Monitorowanie przetargów publicznych na systemy automatyki.
Faza 2: Początkowy dostęp (dni-tygodnie). Spear-phishing wymierzony w inżynierów OT z załącznikami nawiązującymi do branży. Exploitation podatności w systemach VPN, serwerach email lub portalach dostawców. Kompromitacja dostawców oprogramowania lub firmware (supply chain). Watering hole na forach branżowych i stronach producentów urządzeń OT.
Faza 3: Utrwalenie i eskalacja (tygodnie-miesiące). Instalacja backdoorów w sieci korporacyjnej IT. Eskalacja uprawnień do poziomu administratora domeny. Kradzież poświadczeń VPN i jump serverów do sieci OT. Mapowanie topologii sieci OT — identyfikacja kontrolerów, stacji inżynierskich, historianów.
Faza 4: Ruch lateralny IT→OT (tygodnie). Przejście przez DMZ przemysłową wykorzystując słabości segmentacji. Dostęp do stacji inżynierskich HMI/EWS. Pozyskanie oprogramowania programistycznego dla kontrolerów (np. Siemens TIA Portal, ABB Ability). Testowanie manipulacji na niepodłączonych kontrolerach laboratoryjnych.
Faza 5: Działanie na celach (zależne od misji). Destrukcja (wiperware, manipulacja procesem), szpiegostwo (eksfiltracja danych o infrastrukturze), pre-positioning (utrzymanie ukrytego dostępu) lub sabotaż (manipulacja parametrami pracy powodująca awarie fizyczne).
Wykrywanie APT w środowisku energetycznym
Wykrywanie APT w sieciach energetycznych wymaga specjalistycznego podejścia łączącego monitoring IT i OT.
Monitoring ruchu OT z wykorzystaniem narzędzi rozumiejących protokoły przemysłowe (Modbus, DNP3, IEC 104, OPC UA). Baseline normalnej komunikacji kontrolerów i wykrywanie anomalii — nieautoryzowane polecenia zapisu, nowe połączenia, nietypowe wzorce ruchu.
Threat hunting w logach IT i OT. Wyszukiwanie wskaźników kompromitacji (IoC) powiązanych ze znanymi grupami APT. Analiza behawioralna kont uprzywilejowanych — logowania o nietypowych porach, dostęp do nietypowych zasobów. Korelacja zdarzeń z wielu źródeł — firewall, AD, serwery OT, logi kontrolerów.
Honey poty OT — wdrożenie fałszywych kontrolerów PLC i stacji HMI w sieci OT jako wabia. Każda próba komunikacji z nimi jest jednoznacznym wskaźnikiem kompromitacji, ponieważ żaden legalny system nie powinien się z nimi łączyć.
Threat intelligence — subskrypcja feedów IoC dedykowanych sektorowi energetycznemu (ICS-CERT, Dragos WorldView, CERT Polska). Automatyczna korelacja z obserwowanym ruchem sieciowym.
Strategie obrony przed APT
Obrona przed APT wymaga strategii defense-in-depth dostosowanej do specyfiki sektora energetycznego.
Architektura zero trust dla OT — każdy dostęp do systemów OT wymaga wielopoziomowej autoryzacji. Mikrosegmentacja sieci OT z kontrolą na poziomie poszczególnych kontrolerów. Eliminacja domyślnych haseł i wspólnych kont w systemach przemysłowych.
Zarządzanie łańcuchem dostaw — weryfikacja bezpieczeństwa dostawców oprogramowania i firmware OT. Podpisywanie cyfrowe i weryfikacja integralności aktualizacji. Izolowane środowisko testowe dla nowych wersji oprogramowania kontrolerów.
Security awareness dla OT — dedykowane szkolenia dla inżynierów OT i operatorów systemów energetycznych. Symulacje phishingu z kontekstem branżowym. Procedury weryfikacji poleceń zdalnych i zmian konfiguracji.
Ćwiczenia Purple Team — regularne symulacje ataków APT na infrastrukturę energetyczną z udziałem red team (atakujący) i blue team (obrońcy). Testowanie procedur wykrywania, reagowania i odtwarzania. Weryfikacja segmentacji IT/OT pod kątem realnych technik lateral movement.
Jak nFlo wspiera obronę przed APT?
nFlo posiada doświadczenie w ochronie infrastruktury energetycznej przed zaawansowanymi zagrożeniami APT.
Audyt bezpieczeństwa OT/ICS identyfikuje wektory wejścia APT, ocenia jakość segmentacji IT/OT i sprawdza odporność na techniki lateral movement stosowane przez grupy takie jak Sandworm i Volt Typhoon.
SOC as a Service zapewnia ciągły monitoring z wykorzystaniem threat intelligence dedykowanego sektorowi energetycznemu. Korelacja zdarzeń IT i OT umożliwia wykrycie wczesnych faz ataków APT.
Red Team symuluje taktyki, techniki i procedury (TTP) znanych grup APT, weryfikując skuteczność zabezpieczeń w realistycznych scenariuszach ataku na infrastrukturę energetyczną.
Incident Response zapewnia gotowość na wypadek wykrycia aktywności APT — od forensic analysis po eradykację i odtworzenie systemów.
Umów bezpłatną konsultację — przeanalizujemy Twoją odporność na ataki APT.
Cyberbezpieczeństwo w Twojej branży
Dowiedz się więcej o cyberbezpieczeństwie w Twojej branży:
