Am 29. Dezember 2025 gab es in Polen eine Welle koordinierter Cyberangriffe auf mindestens 30 Wind- und Solarparks, ein Heizkraftwerk (CHP) und ein Unternehmen im Fertigungsbereich. Der Bericht von CERT.pl gibt dazu interessante Einblicke. Bei den Angriffen ging es nicht um Gelderpressung, sondern um reine Sabotage an der kritischen Infrastruktur.

1. Grid Connection Point (GCP) Das GCP ist im Grunde das Umspannwerk, in dem der Strom der Wind- und Solarparks gesammelt und für das Verteilnetz auf 110 kV hochgespannt wird. Es dient auch als Schnittstelle für die Fernsteuerung durch den Netzbetreiber. Die Angreifer kamen über FortiGate-Firewalls/VPNs rein, die offen im Netz standen. Die Hürde war minimal, da kein MFA aktiv war und oft Standardpasswörter für mehrere Anlagen gleichzeitig genutzt wurden.

OT-Sabotage:

  • Bei Hitachi RTUs (RTU560) loggten sie sich über das Web-Interface (Account „Default") ein und installierten eine korrupte Firmware.
  • Bei den Linux-basierten Mikronika RTUs nutzten sie SSH (Root-Zugriff) und löschten einfach alle Dateien auf dem System.
  • Moxa NPort 6xxx Server wurden auf Werkseinstellungen zurückgesetzt und die IP auf 127.0.0.1 geändert, um den Fernzugriff komplett zu blockieren. Auch Hitachi IEDs (Schutzrelais) wurden via FTP angegriffen und durch das Löschen von Systemdateien lahmgelegt.

  • HMI-Angriff: Auf den Mikronika-HMI-Rechnern (Windows 10) wurde der DynoWiper (Source.exe) ausgeführt, nachdem sich die Angreifer via RDP Zugang verschafft hatten.

     

2. Angriff auf das Heizkraftwerk (CHP) Erste verdächtige Aktivitäten wurden bereits im März beobachtet, und die Angreifer haben monatelang das Netzwerk infiltriert.

  • Die Angreifer verschafften sich privilegierten Zugang zum Active Directory  und extrahierten im Laufe der Monate die gesamte Datenbank (ntds.dit). Außerdem erstellten sie Diamond Tickets, um sich frei im lokalen Netzwerk bewegen zu können (Lateral Movement).
  • Am Stichtag (29.12.2025) verteilten sie die Wiper-Malware (DynoWiper) über Gruppenrichtlinien (GPOs). Das eingesetzte EDR-System erkannte den Angriff zur Laufzeit und blockierte die Malware auf über 100 Maschinen.

3. Fertigungsbereich & Cloud Die Angreifer nutzten eine alte FortiGate-Schwachstelle aus und bauten sich eine Hintertür mit Skripten, die ihnen sogar Informationen direkt in einen Slack-Kanal posteten. Die Zerstörung von Daten erfolgte hier über einen PowerShell-basierten Wiper (LazyWiper). Zusätzlich loggten sie sich mit On-Premises-Zugangsdaten in die Cloud (Microsoft 365) ein und zogen gezielt Daten aus Exchange, Teams und SharePoint ab.

 

Aus den Angriffen lernen

Wie verwundbar sind deutsche oder europäische Einrichtungen, und was können wir daraus lernen? Die im Bericht genannten OT-Komponenten (wie Hitachi, Mikronika oder Moxa) werden genauso in deutschen und anderen europäischen Energieversorgern eingesetzt.

Initialer Zugang: Das Problem ist, dass immer noch zu viele Services direkt vom Internet aus erreichbar sind. Dazu gehören Management-Systeme, Firewalls oder lokale Applikationen. Im Bericht kamen die Angreifer über FortiGate-VPNs rein, die offen im Netz standen. Wenn dann eine Schwachstelle bekannt wird, nutzen Angreifer das oft innerhalb von wenigen Stunden aus.

Zugangsdaten: Standardzugangsdaten sind in der OT weiterhin ein riesiges Problem. Das betrifft Switches, Firewalls und eben auch die RTUs oder IEDs. Im Bericht reichte den Angreifern oft ein Account namens „Default" bei Hitachi oder der SSH-Root-Zugriff mit Standardpasswort bei Mikronika aus. Manche Dienstleister nutzen für alle Kunden die gleichen Passwörter, und MFA ist auch nicht durchgehend umgesetzt.

Host-basiertes Monitoring: Das Thema Monitoring wird sehr unterschiedlich ausgelegt. Manche überwachen nur mit klassischen Windows-Logs ohne Sysmon. Andere nutzen zusätzlich Sysmon und Antivirus-Lösungen, bei denen alle paar Monate die Signaturen aktualisiert werden. Einige setzen EDR-Lösungen ein, um ihre OT-Infrastruktur zu überwachen. Dass man Wiper-Malware nicht mit Windows Events-Logs verhindern kann, sind nicht allen klar. Allgemein wird eher versucht Logs zu sammeln, als mit EDR direkt diese ANgriffe zu unterbinden.

Netzwerkbasiertes Monitoring: Oft überwacht man OT-Geräte nur netzwerkbasiert, weil man keine Agenten installieren kann. Network Intrusion Detection Systeme (IDS) werden zwar öfter eingesetzt, aber viele Firmen stecken noch in der Planung oder beim Einbau fest. Oft scheitert es schon an Dingen wie fehlendem Port-Mirroring.

Awareness: In vielen Firmen finden immer noch Infektionen über USB-Sticks statt. Das passiert meistens nicht einmal böswillig, sondern weil den Leuten der Impact einfach nicht klar ist. Ein angesteckter Stick kann ausreichen, um das ganze Netzwerk zu gefährden.

Compliance-basierte Security: Oft geht es nur darum, dass man auf dem Papier sicher ist. Da wird ein SIEM gekauft, mit irgendwelchen Log-Daten gefüllt und ein paar Use Cases geschrieben, um ein paar Kreuze zu setzen.

OT-Security gewinnt durch die aktuelle Lage an Bedeutung, aber wir müssen verstehen: Man braucht kein hochkomplexes „Stuxnet", um OT-Systeme anzugreifen. Manchmal reichen Standardpasswörter, einfache IT-Wiper oder normale System-Tools (LOLBins) wie PowerShell und vssadmin vollkommen aus.

 

Quelle: https://cert.pl/uploads/docs/CERT_Polska_Energy_Sector_Incident_Report_2025.pdf

Noch keine Bewertungen vorhanden
Ali Recai Yekta

Ali Recai Yekta ist CTO & Head of Cybersecurity bei Yekta IT. Seine Schwerpunkte sind u.a. Pentesting sowie Cyber Defense für die Branchen Automotive & Rail. Er hat ein Master in IT-Sicherheit und ist OSCP, OSEP, OSWE, CRTO zertifiziert.