Trzy stolice ruszyły tego samego poniedziałku
W grudniu 2025 roku, w środku zimy, atak na polską infrastrukturę energetyczną był tak bliski powodzenia, że rządy opisują dziś, co by się stało: około 500 000 cywilów odciętych od prądu. To byliby Polacy, w zimie. Atak się nie udał. 13 lipca 2026 roku Europa powiedziała głośno, kto próbował.
UE i Wielka Brytania ogłosiły skoordynowane sankcje tego samego dnia. Brytyjczycy objęli nimi 24 osoby i podmioty. UE wpisała na listę dziewięć osób i cztery podmioty, co szefowa unijnej dyplomacji nazwała największym jak dotąd pakietem sankcji cybernetycznych Wspólnoty. Razem trzydzieści trzy cele, a wraz z nimi zamrożenie aktywów, zakaz wjazdu i zakaz udostępniania im środków finansowych oraz zasobów gospodarczych.
Nazwiska są konkretne. Trzej oficerowie GRU: Vyacheslav Stafeyev, Ivan Senin, Ivan Kasyanenko. Kuloodporny hosting Media Land LLC i powiązana z nim ML.Cloud, łączone ze stratami z ransomware i phishingu w całej Europie. Z-Pentest, który według Rady brał na cel infrastrukturę krytyczną, w tym energetykę i wodociągi. Dziesięć osób stojących za Rybar LLC. Operatorzy Lumma Stealera, złośliwego oprogramowania wykradającego dane logowania. A za atakiem na polską sieć jednostka: Centrum 16 FSB.
Sankcje są zdaniem o przeszłości. To, co ogłoszono tego samego dnia, jest zdaniem o twojej sieci.
Droga wejścia nie była wyrafinowana
Brytyjskie National Cyber Security Centre opublikowało wspólne ostrzeżenie z dwunastoma innymi krajami - Stanami Zjednoczonymi, Australią, Kanadą, Czechami, Danią, Estonią, Finlandią, Francją, Włochami, Nową Zelandią, Polską i Szwecją - opisujące, jak Centrum 16 FSB naprawdę dostaje się do środka. Grupa jest śledzona od lat pod całą półką nazw: Berserk Bear, Energetic Bear, Dragonfly, Crouching Yeti, Static Tundra.
Techniki są w tym wszystkim najbardziej rozczarowujące. Skanowanie całego internetu w poszukiwaniu protokołu SNMP z domyślnymi lub słabymi community strings. Nadużycie Cisco Smart Install, funkcji provisioningu, która miała ułatwić wdrażanie przełączników i której większość organizacji nigdy po wdrożeniu nie wyłączyła. Znane, opublikowane podatności w portalach webowych urządzeń sieciowych. Sektory na celowniku: łączność, obronność, energetyka, usługi finansowe, administracja państwowa i ochrona zdrowia.
Na tej liście nie ma żadnej egzotycznej zdolności. Państwowa służba wywiadowcza wchodzi do infrastruktury krytycznej przez domyślne konfiguracje i niezałatany sprzęt brzegowy, bo to działa i bo jest ciche. Na urządzeniach sieciowych nie działa agent ochrony punktów końcowych. Nie pojawiają się one w większości skanów podatności. Nikt nie dostaje powiadomienia, gdy takie urządzenie zostaje przejęte, bo nie ma na nim niczego, co mogłoby takie powiadomienie wysłać.
Zalecenia z ostrzeżenia są równie przyziemne: przejść na SNMPv3 i wyłączyć starsze wersje, używać silnych i unikatowych haseł na urządzeniach sieciowych, ograniczyć dostęp do protokołów zarządzania i wyłączyć Smart Install. Polska podpisała się pod tym dokumentem, a krajowym punktem odniesienia przy incydentach pozostaje CERT Polska, działający w NASK.
Dlaczego błąd z 2008 roku dostał trzy dni
Tego samego 13 lipca Stany Zjednoczone dopisały do katalogu znanych wykorzystywanych podatności dokładnie jedną lukę. Nie świeżą zero-day. CVE-2008-4128, błąd typu cross-site request forgery w Cisco IOS, ujawniony w 2008 roku. Termin usunięcia wyznaczono na 16 lipca: trzy dni.
Wpis w tym katalogu oznacza jedno. To nie jest teoretyczna ocena krytyczności ani proof of concept badacza. To znaczy, że luka jest wykorzystywana realnie, teraz, a katalog przekroczył wraz z tym wpisem 1638 pozycji. Trzydniowy termin wiąże amerykańskie agencje federalne, ale sygnał, który z niego płynie, nie jest administracyjny. Osiemnastoletni błąd nie dostaje awaryjnego zegara dlatego, że ktoś go na nowo odkrył. Dostaje go dlatego, że właśnie jest w użyciu.
Połóż oba dokumenty obok siebie, a obraz się wyostrza. Ostrzeżenie mówi, że aktor państwowy mieszka w sprzęcie sieciowym. Katalog mówi, że konkretnymi drzwiami jest luka Cisco na tyle stara, że mogłaby już głosować. Nic w tej kampanii nie wymagało, by ktokolwiek cokolwiek wymyślił. Wymagało tylko tego, żeby obrońca nigdy nie spojrzał na przełącznik.
Kto jest właścicielem routera?
Zadaj to pytanie we własnej organizacji i patrz, co się stanie. Serwery mają właściciela, cykl łatania i agenta monitorującego. Laptopy mają osobę odpowiedzialną za flotę. Router w szafie, przełącznik w oddziale, firewall, który dostawca usług zarządzanych zainstalował cztery lata temu i od tamtej pory ani razu się na niego nie zalogował: te zwykle należą do tego, kto je ustawił, co często oznacza kogoś, kto już tu nie pracuje.
Ta luka jest dziś nie tylko techniczna, ale i prawna. Zgodnie z NIS2, wdrażaną w Polsce przez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, podmioty kluczowe i ważne muszą zarządzać ryzykiem w sieciach i systemach informatycznych, z których korzystają, a urządzenia sieciowe są tego jednoznaczną częścią. Organ nadzoru, który zapyta, jak nadzorujesz swoich dostawców i swoją infrastrukturę, nie przyjmie odpowiedzi, że sprzęt brzegowy wypadł gdzieś pomiędzy zespół wewnętrzny a firmę zewnętrzną. To samo dotyczy relacji z dostawcą usług zarządzanych: jeśli to on prowadzi twój sprzęt sieciowy, jego higiena konfiguracji jest twoim ryzykiem, a umowa z nim jest miejscem, w którym to zostało albo nie zostało uregulowane.
Dla każdego, kto działa w energetyce, wodociągach, transporcie, ochronie zdrowia lub infrastrukturze cyfrowej, to ostrzeżenie nie jest materiałem uświadamiającym. Wymienia twój sektor, wymienia protokół i przychodzi z listą osób objętych sankcjami, które to robiły. W Polsce dochodzi do tego jeszcze jedno: to była nasza sieć.
Co zrobić w tym tygodniu
Najpierw inwentaryzacja, bo nie załatasz tego, czego nie masz na liście. Każdy zarządzalny przełącznik, router, firewall i urządzenie sieciowe, łącznie z tymi w oddziałach i tymi, które zainstalował dostawca. Jeśli takiej listy nie ma, zbudowanie jej jest pracą na ten tydzień i jest warte więcej niż jakiekolwiek narzędzie, które mógłbyś kupić zamiast niej.
Potem trzy konkretne działania z ostrzeżenia. Wyłącz Cisco Smart Install wszędzie tam, gdzie wciąż jest włączony, co w większości środowisk oznacza wszędzie tam, gdzie kiedykolwiek był włączony. Przenieś SNMP na wersję 3 z uwierzytelnianiem i szyfrowaniem, a wersje 1 i 2c wyłącz, bo przesyłają community strings otwartym tekstem. Zdejmij interfejsy zarządzania ze wszystkich ścieżek dostępnych z internetu i schowaj je za kontrolowanym segmentem sieci.
Na koniec sprawdź, czy twoje urządzenia sieciowe generują logi, które ktokolwiek czyta. Ta kampania mogła trwać właśnie dlatego, że przejęty sprzęt sieciowy milczy. Przekonfigurowany router wygląda dokładnie tak samo jak router nietknięty, chyba że ktoś porównuje go ze znaną poprawną konfiguracją.
Żadna z tych rad nie jest nowa. To jest właśnie sedno i dlatego trzynaście rządów uznało, że musi powiedzieć to razem.
Czytaj dalej: Pierwsza platforma agentów AI, którą CISA każe pilnie załatać | 430 000 zapór stało się linią zasilania ransomware



