Hakerzy zaatakowali 30 obiektów. Wojna hybrydowa wkracza w nową fazę

29 grudnia 2025 roku, w samym środku zimowego mrozu i noworocznych przygotowań, Polska była o krok od energetycznej katastrofy. To nie była kolejna prowokacja ani incydent na granicy sabotażu. Tym razem celem stał się sam kręgosłup bezpieczeństwa państwa.

Zmasowany cyberatak objął 30 obiektów energetycznych, uderzając w elektrociepłownie oraz systemy zarządzające zieloną energią, która dostarcza już 29 procent mocy w krajowej sieci. Eksperci firmy Dragos ostrzegają, że napastnicy przejęli kontrolę nad technologią operacyjną (OT), powodując fizyczne zniszczenia sprzętu niemożliwe do naprawy.

Blackout, który w środku mroźnej nocy mógł pozbawić prądu i ogrzewania blisko pół miliona osób, udało się powstrzymać w ostatniej chwili. Jedno jednak stało się jasne: rosyjska wojna hybrydowa wkroczyła w nową, znacznie brutalniejszą fazę – a Polska znalazła się na jej pierwszej linii.

To eskalacja kampanii cybernetycznej

"The Economist" zaznacza, że atak na polską sieć energetyczną oznacza istotną eskalację rosyjskiej kampanii cybernetycznej w Europie. "Hakerzy powiązani z Kremlem od lat włamują się do europejskich sieci komputerowych, by kraść tajemnice i sondować infrastrukturę pod kątem słabych punktów. Znacznie dalej posunęli się w Ukrainie, przeprowadzając w 2015 i 2016 roku śmiałe ataki na tamtejszą sieć energetyczną. Poza Ukrainą działali jednak dotąd ostrożniej" – zauważa tygodnik.

Teraz to się zmienia. Rosyjscy hakerzy coraz częściej uderzają nie tylko w cele militarne, lecz także w infrastrukturę cywilną, niemającą bezpośredniego związku z wojną. W zeszłym roku uderzyli również w Norwegii, atakując zaporę w południowo-zachodniej części kraju i powodując niekontrolowany przepływ wody przez cztery godziny.

To nie GRU? Obudził się Berserk Bear

Jak pisze brytyjski tygodnik, atak na polską infrastrukturę przeprowadzili najpewniej nie hakerzy z Sandworma (pol. czerw pustyni – stworzenie z uniwersum „Diuny”), czyli jednostki rosyjskiego wywiadu wojskowego GRU, lecz ich odpowiednicy z Federalnej Służby Bezpieczeństwa (FSB), znani jako Berserk Bear.

Według ekspertów różnica pomiędzy tymi grupami jest istotna. Sandworm znany jest z ordynarnego cybersabotażudziała niemal otwarcie i agresywnie, przedkładając chaos nad dyskrecję. Berserk Bear natomiast przez lata funkcjonował inaczej: ostrożnie i po cichu, koncentrując się głównie na wykradaniu informacji.

– Nigdy nie wykazywali realnej intencji zakłócania działania systemów. Raczej instalowali się w sieciach i czekali na rozkaz. To pierwszy raz od 12 lat, gdy po okresie ukrytej obecności faktycznie przeszli do działania – powiedział "The Economistowi" John Hultquist, główny analityk Google Threat Intelligence Group.

Zdaniem eksperta cyberataki na infrastrukturę krytyczną w Europie będą się powtarzać – hakerzy z Berserk Bear są w nich szczególnie wprawieni.

– Regularnie znikają, a gdy wracają, są zwykle technicznie przeorganizowani. Nie byliśmy w stanie namierzyć ich we wszystkich miejscach, które obrali za cel. To aktorzy o wieloletnim doświadczeniu w atakach na infrastrukturę krytyczną, "wchodzą" przez "furtki", o których istnieniu nawet nie wiemy – podsumował Hultquist.