Rosyjskie grupy haktywistyczne i służby specjalne wzięły na cel polską infrastrukturę krytyczną. W 2025 roku doszło do serii niebezpiecznych incydentów, które mogły pozbawić tysiące Polaków dostępu do bieżącej wody.
Współczesna wojna nie toczy się już tylko na poligonach, ale przede wszystkim w szafach serwerowych i sterownikach przemysłowych. Opublikowany właśnie raport ABW za lata 2024–2025 rzuca światło na skalę hybrydowej agresji, z jaką mierzy się nasz kraj. Najbardziej niepokojącym elementem działań przeciwnika były bezpośrednie ataki na systemy sterowania infrastrukturą komunalną.
Celem były stacje uzdatniania wody
Zgodnie z ujawnionymi informacjami, w 2025 roku hakerzy działający na zlecenie lub pod inspiracją wschodnich służb przeprowadzili udane ataki na stacje uzdatniania wody w pięciu miejscowościach: Jabłonna Lacka, Szczytno, Małdyty, Tolkmicko i Sierakowo.
Atakujący zdołali uzyskać dostęp do przemysłowych systemów sterowania (ICS/SCADA). Dzięki temu zyskali możliwość zdalnej zmiany parametrów technicznych urządzeń. W praktyce oznaczało to realne ryzyko wstrzymania dostaw wody dla ludności lub pogorszenia jej parametrów, co stanowi bezpośrednie zagrożenie dla bezpieczeństwa publicznego.
Rażące zaniedbania otworzyły drzwi agresorom
Analiza techniczna przeprowadzona przez ekspertów z CSIRT GOV (zespół reagowania na incydenty działający w strukturach ABW) obnażyła słabość zabezpieczeń w atakowanych obiektach. Scenariusz wejścia do systemu był niemal podręcznikowy w swojej prostocie.
Hakerzy wykorzystali:
- Niewłaściwą politykę haseł – słabe lub domyślne dane logowania, które łatwo złamać metodą brute-force.
- Niezabezpieczone panele zarządzania – interfejsy administracyjne urządzeń były wystawione bezpośrednio do publicznej sieci internet, bez odpowiednich warstw ochrony (np. VPN czy 2FA).
Nie tylko woda. Cyberszpiegostwo i dezinformacja
Infrastruktura komunalna to tylko wierzchołek góry lodowej. Raport ABW wskazuje na bezprecedensową aktywność grup typu APT (Advanced Persistent Threat), takich jak APT28 (Fancy Bear) czy APT29 (Midnight Blizzard), powiązanych z rosyjskimi służbami.
W 2025 roku system wczesnego ostrzegania ARAKIS GOV odnotował aż 18-procentowy wzrost liczby zdarzeń rok do roku, co wygenerowało rekordową liczbę 5,5 miliona alarmów bezpieczeństwa.
Nowe techniki ataku. Quishing i chmury publiczne
Agencja ostrzega przed ewolucją metod stosowanych przez agresorów. Coraz popularniejszy staje się quishing, czyli phishing z wykorzystaniem złośliwych kodów QR. Atakujący naklejają fałszywe kody na parkometrach czy biletomatach lub przesyłają je w wiadomościach, by ominąć filtry antyspamowe skanujące tekstowe hiperłącza.
Dodatkowo sprawcy masowo migrują swoje złośliwe zasoby (zainfekowane dokumenty i formularze) do legalnych chmur obliczeniowych. Dzięki temu ruch hakerski miesza się z zaufanym ruchem korporacyjnym, co drastycznie utrudnia detekcję przez standardowe systemy firewall.
Żyjemy w stanie stałego zagrożenia
Utrzymujący się stopień alarmowy CRP na terytorium całego kraju nie jest jedynie formalnością. Jak wynika z raportu płk. Rafała Syrysko, Szefa ABW, Polska stała się poligonem doświadczalnym dla rosyjskich działań hybrydowych. A ataki na stacje uzdatniania wody w małych miejscowościach pokazują, że celem nie są już tylko duże instytucje w Warszawie, ale każdy element infrastruktury, którego paraliż może wywołać niepokój społeczny.
Dla administratorów systemów IT i OT w całym kraju płynie z tego jasny przekaz. Cyberbezpieczeństwo to nie koszt, to fundament przetrwania.
Foto: Gemini/AI.