Mentionsy
Podcast Cyberkryminalny
Podcast Cyberkryminalny
21.12.2025 08:30

Odcinek #5: Kto nęka polskie wodociągi? - zaprasza dr inż. Paweł Kuraś

W 5. odcinku "Podcastu Cyberkryminalnego" przyglądamy się jednemu z najbardziej niepokojących incydentów w polskiej cyberprzestrzeni ostatnich miesięcy.

W maju 2025 roku do sieci trafiło nagranie z ataku na stację uzdatniania wody, rzekomo w Szczytnie. Pół roku później wiemy już, że lokalizacja była inna, a sprawa ma drugie dno.

Wspólnie prześledzimy drogę od dezinformacji do prawdy, bazując na przełomowym śledztwie Oskara Klimczuka z CyberDefence24.

Dowiemy się, jak dzięki analizie OSINT namierzono rzeczywisty cel ataku – Gminę Załuski – i dlaczego lokalni włodarze milczą na ten temat.

W tym odcinku usłyszysz o:

Śledztwie OSINT: Jak odróżnić Szczytno na Mazurach od małej wsi na Mazowszu, analizując typy pomp i zdjęcia satelitarne zbiorników retencyjnych.

Technikaliach ataku: Czym jest protokół VNC, dlaczego port 5900 to "otwarte drzwi" dla hakerów i jak wyglądała manipulacja ciśnieniem wody (skok z 5,1 do 6,6 bara).

Sprawcach: Kim jest "SovaSonya" (Wiktoria Dubranowa), czym jest grupa CARR (Cyber Army of Russia Reborn) i jakie są jej powiązania z rosyjskim wywiadem wojskowym GRU (jednostka Sandworm).

Kontekście globalnym: Podobieństwa między atakami w Polsce a incydentami w Muleshoe (Teksas) i Chodaczowie.

Supply Chain Attack: Dlaczego standaryzacja paneli HMI przez firmy integratorskie stwarza zagrożenie dla setek gmin jednocześnie.

Prowadzący: Paweł KuraśData nagrania: 19 grudnia 2025 r.

Źródła wykorzystane w odcinku:

Kluczowe artykuły i reportaże:

Cyberatak na polski wodociąg. Ktoś nie chce się przyznać - CyberDefence24

https://cyberdefence24.pl/cyberbezpieczenstwo/incydent-w-polskim-wodociagu-ktos-nie-chce-sie-przyznac

Cyberataki na wodociągi coraz groźniejsze. "Będzie jeszcze gorzej" - RMF24

https://www.rmf24.pl/fakty/polska/news-cyberataki-na-wodociagi-coraz-grozniejsze-bedzie-jeszcze-gor,nId,8021059

Hakerzy testują nasze wodociągi. Groźne zjawisko narasta - ZielonaGospodarka.pl

https://zielonagospodarka.pl/hakerzy-testuja-nasze-wodociagi-grozne-zjawisko-narasta-20952

Nawet 40 tys. ataków dziennie. Kto nęka polskie wodociągi i elektrownie? - Zielona Interia / Czysta Polska

https://zielona.interia.pl/wiadomosci/polska/news-nawet-40-tys-atakow-dziennie-kto-neka-polskie-wodociagi-i-el,nId,22452703

Foreign National Indicted and Extradited to the United States for Role in Two Russia-Linked Cyber Hacking Groups | US EPA

https://www.epa.gov/newsreleases/foreign-national-indicted-and-extradited-united-states-role-two-russia-linked-cyber

Fałszywe sklepy internetowe zalewają sieć przed świętami. CERT Polska ostrzega

https://ewp.pl/falszywe-sklepy-internetowe-zalewaja-siec-przed-swietami-cert-polska-ostrzega/

CERT Polska: Dwukrotny wzrost incydentów w 2025 roku - CyberDefence24

https://cyberdefence24.pl/cyberbezpieczenstwo/cert-polska-dwukrotny-wzrost-incydentow-w-2025-roku

Poland arrests Ukrainians utilizing 'advanced' hacking equipment - Bleeping Computer

https://www.bleepingcomputer.com/news/security/poland-arrests-ukrainians-utilizing-advanced-hacking-equipment/

Critical Infrastructure at Risk as Thousands of VNC Instances Exposed - Infosecurity Magazine

https://www.infosecurity-magazine.com/news/critical-infrastructure-vnc/

Pro-Russia Hacktivists Conduct Opportunistic Attacks Against US and Global Critical Infrastructure | CIS

https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-343a

Treasury Sanctions Leader and Primary Member of the Cyber Army of Russia Reborn

https://home.treasury.gov/news/press-releases/jy2473

Russian Hacktivists Target Water and Wastewater Facilities Nationally | NJCCIC

https://www.cyber.nj.gov/Home/Components/News/News/1292/214

Cyberattack targets Polish municipalities, mayors in phishing campaign - Cybernews

https://cybernews.com/cyber-war/cyberattack-polish-municipalities-mayors-phishing-campaign/

Grundfos SP 46-4 (Karta katalogowa)

https://product-selection.grundfos.com/products/sp-sp-q/sp/sp-46-4-15A01904

VNC CERT Polska Klimczuk Oskar Klimczuk GRU Cyber Army of Russia Reborn Załusk Załuski Sowa Sonia TeamViewer OT NASK SUW Szczytno Wiktoria Dubranowa CERT

Szukaj w treści odcinka

Wyczyść
Znaleziono 42 wyników dla "OT"

Mamy końcówkę grudniem, a w domach trwają przygotowania do świąt.

Pachnie teraz piernikami, bo tak w tle słychać kolędy, a w głowach mamy listy prezentów, tak planowanie rodzinnych spotkań.

Jest dokładnie odwrotnie.

CERT Polska, czyli nasz Computer Emergency Response Team, notuje w tym tygodniu rekordową liczbę zgłoszeń dotyczących phishingu.

Fałszywe sklepy internetowe, SNSy o zatrzymanej paczce, prośby o dopłatę 3 złotych cła.

Systemy takie jak lista ostrzeżeń czy Artenis pracują na pełnych obrotach, blokując milionów próby wejść na fałszywe strony, ale ludzka naiwność wciąż pozostaje najsłabszym ogniwem.

No i wcześniej nie potrafili wyjaśnić do czego służy ten sprzęt.

Porusza się pewny, choć nieco chaotycznie.

Sprawdziliśmy nasze systemy, nie odnotowaliśmy żadnego włamania.

CSIRT NASK, czyli Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, potwierdza te przypuszczenie.

W odpowiedzi na pytania dziennikarze przyznają, tak, wiemy o tym incydencie, informowaliśmy o publicznie dostępnym panelu tej konkretnej instalacji od 28 lutego 2025 roku, a potem ponownie 15 maja.

System, który stał otworem do internetu przez co najmniej 3 miesiące, zanim hakerzy z niego skorzystali.

Ktoś zostawił otwarte drzwi, a CARR po prostu przez nie wszedł.

W opisie przedmiotu zamówienia na modernizację SUW Szczytno w Gminie Załuski czytamy o wyposażeniu.

Gmina Campinos odpowiada otwarcie i konkretnie.

Nie otrzymaliśmy informacji o incydencie.

Odpowiedź przychodzi nie z urzędu, ale z Zakładu Usług Wodnych dla Potrzeb Rolnictwa w Mławie, który zarządza wodociągami w tej gminie.

Na pytania o atak, o zabezpieczenie, o zgłoszenie do CERT-u pada jedno stwierdzenie – nie dotyczy.

Nie dotyczy dwa słowa, które mają zamknąć temat.

Ale w świecie cyberbezpieczeństwa brak zaprzeczenia jest często silnym potwierdzeniem, czyli ta klasyczna strategia chowania głowy w piasek.

To potężna siła hydrauliczna.

Przez 6 godzinach 6 bara te zawory zaczynają się otwierać.

Woda zaczyna wyciekać na podłogę w kotłowniach i w łazienkach, gdy mieszkańcy mogą nie wiedzieć dlaczego nagle ich piec cieknie.

Jeżeli przy ciśnieniu 6,6 bara ktoś gwałtownie zakręci kran lub elektrozabór, pralci, zamknie dopływ, powstaje fala uderzenia, bo to jest taki słynny młot wodny.

hard-wired safety, których nie da się zmienić z poziomu panelu dotykowego.

Otwarte drzwi.

Protokół VNC.

Drzwi były otwarte.

Protokół VNC domyślnie nasłuchuje na porcie 5009.

Teoretycznie tak, ale w praktyce przemysłowej, czyli w OT, w Operational Technology, zaniedbania są porażające.

Integratorzy systemów automatyki tworzą gotowe szablony paneli sterowania.

zostawi otwarty port VNC z domyślnym hasłem, to istnieje duże ryzyko, że ten sam błąd powielił w 10 innych lokalizacjach.

A że widzi go cały świat, no to to już nie dotyczy.

Grupę patriotów-amatorów, które z własnej, nieprzemuszonej woli walczą z wrogami Rosji.

To ci sami ludzie, którzy wyłączyli prąd na Ukrainie w zimie w 2015 i 2016 roku, wypuścili virusa NotPetya, który w 2017 roku sparaliżował firmy na całym świecie, generując koszty rzędu 10 miliardów dolarów.

Wyszukiwała po prostu otwarte porty VNC.

Sieć biurowa, więc tam gdzie księgowa odbiera maile, musi być fizycznie i logicznie oddzielona od sieci OT, czyli tam gdzie steruje się pompami.

Jeżeli ktoś zawirusuje komputer w sekretariacie, ma otwartą drogę do sterowników PLC na stacji uzdatniania.

Jeśli inżynier chce połączyć się ze stacją, musi nie tylko podać hasło, ale też potwierdzić logowanie kodem z telefonu, a najlepiej z generatora tokenów.

Potrzebne są ludzie.

Dla bota skanującego internet pompa w Załuskach jest takim samym adresem IP jak serwer w Ministerstwie Obrony, a dla grupy takiej jak CARR sukces medialny z ataku na małą wieś jest równie cenny co atak na metropolię.

Kończenie tematu stwierdzeniem nie dotyczy już nie wystarczy.

Ostatnie odcinki