De ‘gecoördineerde’ cyberaanval, gericht op meerdere locaties in het Poolse elektriciteitsnet, wordt met gemiddeld vertrouwen toegeschreven aan een door de Russische staat gesponsorde hackploeg, bekend als ELECTRUM.
Cyberbeveiligingsbedrijf Dragos op het gebied van operationele technologie (OT) beschreef in een dinsdag gepubliceerde nieuwe inlichtingenbrief de activiteit van eind december 2025 als de eerste grote cyberaanval gericht op gedistribueerde energiebronnen (DER’s).
“De aanval beïnvloedde de communicatie- en controlesystemen bij warmtekrachtkoppelingsinstallaties (WKK) en systemen die de verzending van hernieuwbare energiesystemen vanaf wind- en zonne-energielocaties beheren”, aldus Dragos. “Hoewel de aanval niet tot stroomstoringen leidde, kregen tegenstanders toegang tot operationele technologiesystemen die cruciaal waren voor de werking van het elektriciteitsnet en werden belangrijke apparatuur op de locatie onherstelbaar uitgeschakeld.”
Het is de moeite waard erop te wijzen dat ELECTRUM en KAMACITE delen overlappen met een cluster dat Sandworm wordt genoemd (ook bekend als APT44 en Seashell Blizzard). KAMACITE richt zich op het tot stand brengen en behouden van initiële toegang tot gerichte organisaties met behulp van spear-phishing, gestolen inloggegevens en exploitatie van blootgestelde diensten.
Naast initiële toegang voert de bedreigingsacteur verkennings- en volhardingsactiviteiten uit gedurende langere perioden als onderdeel van pogingen om diep in de doel-OT-omgevingen te graven en onopvallend te blijven, wat een zorgvuldige voorbereidende fase aangeeft die voorafgaat aan acties die worden uitgevoerd door ELECTRUM gericht op de industriële controlesystemen.
“Na toegangscontrole voert ELECTRUM operaties uit die IT- en OT-omgevingen overbruggen, waarbij tooling binnen operationele netwerken wordt ingezet en ICS-specifieke acties worden uitgevoerd die controlesystemen manipuleren of fysieke processen verstoren”, aldus Dragos. “Deze acties omvatten zowel handmatige interacties met operatorinterfaces als de inzet van speciaal gebouwde ICS-malware, afhankelijk van de operationele vereisten en doelstellingen.”
Anders gezegd: de twee clusters hebben een duidelijke scheiding van rollen en verantwoordelijkheden, wat flexibiliteit in de uitvoering mogelijk maakt en aanhoudende OT-gerichte inbraken mogelijk maakt wanneer de omstandigheden gunstig zijn. Nog in juli 2025 zou KAMACITE zich bezighouden met scanactiviteiten tegen industriële apparaten in de VS.
Hoewel er tot nu toe geen publieke OT-verstoringen zijn gerapporteerd, benadrukt dit een operationeel model dat niet geografisch beperkt is en toegangsidentificatie en -positionering in een vroeg stadium mogelijk maakt.
“KAMACITE’s op toegang gerichte operaties creëren de omstandigheden waaronder OT-impact mogelijk wordt, terwijl ELECTRUM uitvoeringstechnieken toepast wanneer timing, toegang en risicotolerantie op één lijn liggen”, legde het uit. “Deze taakverdeling maakt flexibiliteit in de uitvoering mogelijk en zorgt ervoor dat OT-impact een optie blijft, zelfs als deze niet onmiddellijk wordt uitgeoefend. Dit breidt het risico uit tot voorbij afzonderlijke incidenten en tot langdurige perioden van latente blootstelling.”
Dragos zei dat Polen gerichte systemen aanvalt die de communicatie en controle tussen netwerkbeheerders en DER-middelen vergemakkelijken, inclusief middelen die netwerkconnectiviteit mogelijk maken, waardoor de tegenstander met succes de activiteiten op ongeveer 30 verspreide opwekkingslocaties kan verstoren.
Er wordt aangenomen dat de bedreigingsactoren de Remote Terminal Units (RTU’s) en de communicatie-infrastructuur op de getroffen locaties hebben doorbroken met behulp van blootgestelde netwerkapparaten en kwetsbaarheden hebben uitgebuit als initiële toegangsvectoren. De bevindingen geven aan dat de aanvallers een diepgaand inzicht hebben in de infrastructuur van het elektriciteitsnet, waardoor ze communicatieapparatuur, waaronder enkele OT-apparaten, kunnen uitschakelen.
Dat gezegd hebbende, is de volledige reikwijdte van de kwaadwillige acties ondernomen door ELECTRUM onbekend, waarbij Dragos opmerkt dat het onduidelijk is of de bedreigingsacteur heeft geprobeerd operationele commando’s aan deze apparatuur te geven of zich uitsluitend heeft gericht op het uitschakelen van de communicatie.
De aanval in Polen wordt ook als opportunistischer en gehaaster beoordeeld dan een nauwkeurig geplande operatie, waardoor de hackers kunnen profiteren van de ongeoorloofde toegang om zoveel mogelijk schade aan te richten door Windows-gebaseerde apparaten te wissen om herstel te belemmeren, configuraties opnieuw in te stellen of te proberen apparatuur permanent te blokkeren. Het merendeel van de apparatuur is volgens Dragos gericht op het monitoren van de veiligheid en stabiliteit van het elektriciteitsnet.
“Dit incident toont aan dat tegenstanders met OT-specifieke capaciteiten zich actief richten op systemen die gedistribueerde opwekking monitoren en controleren”, voegde het eraan toe. “Het onherstelbaar uitschakelen van bepaalde OT- of industriële controlesystemen (ICS)-apparatuur op de locatie bracht wat gezien had kunnen worden als een pre-positioneringspoging van de tegenstander in een aanval.”
