Sisältöön

Kyberisku Puolaan - SecMeter

Ohita valikko
Ohita valikko

Kyberisku Puolaan

Yritysturvallisuus > Kyberturvallisuus
Ohita valikko
Venäjän kyberisku Puolan energiainfrastruktuuria vastaan



Puolan energiainfrastruktuuri joutui 29.12.2025 poikkeuksellisen vakavan ja tuhoavan kyberhyökkäyksen kohteeksi. Hyökkäys kohdistui samanaikaisesti uusiutuvan energian tuotantolaitoksiin, suureen yhdistettyyn sähkön ja lämmön tuotantolaitokseen (CHP) sekä teollisuusalan yritykseen.

Puolan kansallinen kyberturvallisuustiimi CERT Polska julkaisi tapauksesta tutkimusraportin Energy Sector Incident Report – 29 December, joka kuvaa yksityiskohtaisesti pitkään valmistellun ja teknisesti kehittyneen operaation. Raportin perusteella hyökkäyksen piirteet viittaavat vahvasti valtiolliseen toimijaan.
Tehtävälista
Pääsynhallinta

  1. Ota pakollinen MFA käyttöön kaikissa VPN- ja etäyhteyksissä
  2. Ota MFA käyttöön kaikille ylläpito- ja admin-tunnuksille
  3. Poista käyttämättömät käyttäjät ja palvelutilit
  4. Vaihda oletustunnukset kaikista verkkolaitteista (palomuurit, RTU, IED, VPN)

Verkko

  1. Sulje suorat hallintaportit internetistä
  2. Tarkista palomuurien ja VPN-laitteiden firmware-päivitykset
  3. Poista tarpeettomat avoimet portit

Varmuuskopiot

  1. Varmista offline- tai immutable-varmuuskopiot. Immutable-varmuuskopio tarkoittaa varmuuskopiota, jota ei voi muuttaa, poistaa tai ylikirjoittaa ennalta määritellyn ajanjakson aikana, ei edes järjestelmänvalvoja
  2. Testaa palautus käytännössä (ei pelkkä varmistuksen tarkistus)
  3. Dokumentoi palautumisaika (RTO) ja tietojen menetystaso (RPO)

IT- ja OT-verkkojen segmentointi

  1. Erota IT ja OT fyysisesti tai palomuuritasolla
  2. Rajoita hallintayhteydet vain välipalvelimien (jump server) kautta
  3. Estä suorat AD-yhteydet OT-verkkoon

Privileged Access Management (PAM)

  1. Rajoita Domain Admin -oikeudet minimiin
  2. Ota käyttöön erilliset admin-työasemat
  3. Ota käyttöön JIT (Just-In-Time) -ylläpito-oikeudet

Valvonta

  1. Ota käyttöön EDR/XDR kaikissa työasemissa ja palvelimissa
  2. Keskitetty lokien keräys (SIEM)
  3. Hälytykset:

  • massapoistoista
  • GPO-muutoksista
  • MBR-muutoksista
  • useista epäonnistuneista kirjautumisista

OT-ympäristön suojaus

  1. Estä firmware-päivitykset ilman hyväksyntää
  2. Ota käyttöön laiteohjelmiston allekirjoitusvalvonta
  3. Dokumentoi kaikki RTU/SCADA-hallintayhteydet
  4. Rajoita etäyhteydet vain VPN + MFA -ratkaisuilla
  5. Toteuta jatkuva OT-liikenteen monitorointi

Incident Response -valmius

  1. Päivitä kyberkriisinhallintasuunnitelma
  2. Määritä päätöksentekovastuut
  3. Harjoittele wiper-skenaario (tabletop-harjoitus)
  4. Sovi yhteistyö CERTin / viranomaisten kanssa

Toimitusketju

  1. Auditointi kriittisille IT- ja OT-toimittajille
  2. Varmista, että toimittajilla on MFA ja segmentointi
  3. Tarkista pilvipalveluiden hallintakäytännöt

Havaitsemisen parantaminen

  1. Tunnista wiper-hyökkäyksen ennusmerkit:
  2. Epätavallinen GPO-muutos
  3. Massiiviset AD-kyselyt
  4. Epänormaalit PowerShell-suoritukset
  5. Useiden koneiden samanaikainen tiedostokato
  6. Palautuspisteiden poistaminen

Resilienssin varmistaminen

  1. Harjoittele “IT täysin pimeänä” -skenaario
  2. Varmista manuaaliset varamenettelyt OT-ympäristössä
  3. Dokumentoi kriittisten järjestelmien prioriteettijärjestys
  4. Varmista kybervakuutuksen kattavuus sabotaasitilanteissa
DynoWiper ja LazyWiper kybersabotaasin välineinä
Yhä useammin kyberhyökkäykset liittyvät strategiseen vaikuttamiseen, jossa digitaalinen toimintaympäristö toimii välineenä poliittisten, sotilaallisten tai geopoliittisten tavoitteiden edistämisessä. DynoWiper ja LazyWiper edustavat haittaohjelmaluokkaa, jossa digitaalinen tuho on itsessään operatiivinen ja strateginen päämäärä.

Wiper-haittaohjelmien määritelmä
Wiper-haittaohjelma on haittaohjelmatyyppi, jonka ensisijaisena tavoitteena on kohdejärjestelmän ja siihen liittyvien tietojen peruuttamaton tuhoaminen. Toisin kuin kiristyshaittaohjelmat (ransomware), wiper-haittaohjelmat eivät pyri salaamaan tietoja lunnaiden maksamista varten eivätkä jätä hyökkäyksen kohteelle vaatimuksia tai neuvottelumahdollisuuksia. Tavoitteena on maksimaalinen vahinko ja toiminnan keskeyttäminen.

Rikollisryhmät käyttävät wiper-haittaohjelmia harvoin, koska niillä ei saavuteta suoraa taloudellista hyötyä. Poikkeuksellisesti wiper-toiminnallisuutta voidaan kuitenkin nähdä tilanteissa, joissa hyökkäys eskaloituu kiristyksestä sabotaasiin tai kun sisäpiiriläinen pyrkii aiheuttamaan vahinkoa.

Wiper-haittaohjelmille tyypillisiä ominaisuuksia ovat:

  • tiedostojen ylikirjoittaminen satunnaisella datalla
  • järjestelmän palautuspisteiden ja varmistusmekanismien poistaminen
  • käynnistysrakenteiden tai käyttöjärjestelmän kriittisten osien vahingoittaminen
  • pyrkimys estää järjestelmän palautuminen normaalitilaan

Joissakin tapauksissa wiper-haittaohjelmat voivat vahingoittaa Master Boot Recordia (MBR) tai vastaavia käynnistyskomponentteja, mikä estää järjestelmän käynnistymisen kokonaan. Tällöin vaikutus ei rajoitu yksittäisten tiedostojen menetykseen, vaan kohdistuu koko järjestelmän toimintaan.

DynoWiper
DynoWiper on kohdennettu wiper-haittaohjelma, joka on suunniteltu erityisesti kriittisiin infrastruktuuriympäristöihin ja laajoihin IT-järjestelmiin. Sen käyttö viittaa tyypillisesti huolellisesti valmisteltuun hyökkäykseen, jossa tuhoamisvaihe on vasta operaation viimeinen askel.

DynoWiperin keskeisiä ominaisuuksia ovat:

  • tiedostojen toistuva ylikirjoittaminen
  • järjestelmän palautuspisteiden poistaminen
  • mahdollinen Master Boot Recordin vahingoittaminen
  • käyttöjärjestelmän käynnistymisen estäminen

Ennen wiperin aktivointia hyökkääjä on usein ollut läsnä kohdeverkossa pitkän ajan, kerännyt tiedustelutietoa, varastanut tunnistetietoja ja saavuttanut laajat käyttöoikeudet. Wiper laukaistaan vasta, kun hyökkääjä on varmistanut, että vaikutus on mahdollisimman laaja ja palautuminen mahdollisimman hidasta.

LazyWiper
LazyWiper on rakenteeltaan teknisesti suoraviivaisempi wiper-haittaohjelma, mutta sen yksinkertaisuus ei vähennä sen aiheuttamaa riskiä. Päinvastoin, suoraviivainen toteutus voi mahdollistaa nopean ja laajamittaisen leviämisen organisaation sisällä.

LazyWiperin ominaispiirteisiin kuuluvat:

  • laaja kohdistus käyttäjä- ja palvelinjärjestelmiin
  • mahdollinen leviäminen Active Directoryn ja ryhmäkäytäntöjen (GPO) kautta
  • tiedostojen nopea tuhoaminen ilman monimutkaisia peittely- tai harhautustekniikoita

Nimi ”Lazy” ei viittaa tehottomuuteen, vaan ennemminkin siihen, että haittaohjelma keskittyy suoraan tuhovaiheeseen ilman teknisesti monimutkaisia ratkaisuja. Tällainen lähestymistapa voi olla erityisen tuhoisa ympäristöissä, joissa verkon segmentointi ja pääsynhallinta ovat puutteellisia.

Mikä tekee wiper-haittaohjelmista erityisen vaarallisia?
DynoWiperin ja LazyWiperin kaltaiset haittaohjelmat eroavat merkittävästi perinteisestä kyberrikollisuudesta. Niiden vaarallisuus perustuu useisiin tekijöihin.

Ensinnäkin ne ovat puhtaasti sabotaasiin tarkoitettuja työkaluja. Niiden tavoitteena ei ole taloudellinen hyöty, vaan häiriön, vahingon ja epävarmuuden aiheuttaminen.

Toiseksi niiden käyttö yhdistetään usein valtiollisiin tai geopoliittisiin motiiveihin. Kehittyneiden wiper-haittaohjelmien kehittäminen ja tehokas käyttö edellyttävät merkittäviä resursseja, osaamista ja pitkäjänteistä valmistelua.

Kolmanneksi ne kohdistuvat usein kriittiseen infrastruktuuriin, kuten energiantuotantoon, teollisuuteen ja muihin yhteiskunnan kannalta keskeisiin toimintoihin. Näissä tapauksissa vaikutukset voivat ulottua yksittäistä organisaatiota laajemmalle.

Wiper-haittaohjelmien käyttäjät
DynoWiperin ja LazyWiperin kaltaisten haittaohjelmien käyttäjät yhdistetään useimmiten valtiollisiin toimijoihin tai valtion tukemiin ryhmiin. Näitä toimijoita kuvataan usein APT-ryhminä (Advanced Persistent Threat), joille on ominaista pitkäkestoinen tiedusteluvaihe, huolellinen valmistelu ja kohdennettu toteutus.

Wiper-haittaohjelmia voidaan käyttää osana:

  • geopoliittista vaikuttamista
  • hybridisodankäyntiä
  • kriittisen infrastruktuurin häirintää
  • sotilaallista tai poliittista eskalaatiota edeltävää toimintaa
CERT Polska ja kansallinen kyberturvallisuusrakenne
CERT Polska (CERT.PL) on tiimi, joka toimii NASKin (National Research Institute) rakenteissa. NASK on Puolan kansallinen tutkimuslaitos, joka vastaa muun muassa verkkoinfrastruktuurista, kyberturvallisuustutkimuksesta ja kansallisen kyberturvallisuuden koordinoinnista.

CERT Polska suorittaa CSIRT NASKin tehtäviä. CSIRT NASK on yksi kolmesta kansallisen tason CSIRT-tiimistä, jotka toimivat Puolan kansallisessa kyberturvallisuusjärjestelmässä. CERT Polska on siten keskeinen osa Puolan kyberturvallisuuden tilannekuvaa ja reagointikykyä.

CERT (Computer Emergency Response Team) tarkoittaa tietokone- ja kyberturvallisuuspoikkeamiin erikoistunutta tiimiä, jonka tehtävänä on havaita, analysoida ja torjua vakavia kyberuhkia.

Hyökkäyksen luonne ja vakavuus
Puola joutui joulukuussa 2025 yhden vakavimmista kyberhyökkäyksistä maan historiassa. Hyökkäyksen erityinen vakavuus perustui sen puhtaasti tuhoavaan luonteeseen Tavoitteena ei ollut taloudellinen hyöty, vaan kriittisten järjestelmien vahingoittaminen ja toiminnan estäminen.

CERT Polskan tekninen analyysi osoitti, että kyseessä oli poikkeuksellisen kehittynyt ja koordinoitu operaatio. Useat tekniset ja operatiiviset piirteet viittaavat vahvasti valtiolliseen toimijaan.

Hyökkäyksen kohteet ja laajuus
Uusiutuvan energian sektorilla hyökkäyksen kohteeksi joutui vähintään 30 tuuli- ja aurinkovoimalaa eri puolilla Puolaa. Hyökkäysten seurauksena menetettiin yhteys jakeluverkonhaltijoihin, mikä esti etävalvonnan ja -ohjauksen.

Vaikka itse sähkön tuotanto ei keskeytynyt, riski laajamittaisemmille häiriöille oli todellinen. Lisäksi hyökkäys ajoittui talven kylmimpään ajankohtaan, jolloin energiantuotannon luotettavuus on kriittistä.

Toinen merkittävä kohde oli suuri CHP-laitos, joka toimittaa lämpöä lähes puolelle miljoonalle asiakkaalle. CHP-laitos tarkoittaa Combined Heat and Power -laitosta, suomeksi yhteistuotantolaitosta tai lämpövoimalaitosta, jossa tuotetaan sähköä ja lämpöä samanaikaisesti yhdestä polttoaineesta.

Tässä tapauksessa hyökkääjä oli soluttautunut järjestelmiin jo kuukausia ennen varsinaista tuhoavaa vaihetta, keräten tietoa ja varastamalla tunnuksia. Kolmas kohde, teollisuusyritys, ei ollut strategisesti yhtä merkittävä, mutta se osoittaa hyökkäyksen laajaa ja opportunistista luonnetta.

Hyökkäysmenetelmät ja tekninen toteutus
Hyökkääjä hyödynsi systemaattisesti FortiGate-palomuureja ja VPN-ratkaisuja, joissa oli käytössä oletustunnuksia tai puutteellinen suojaus, kuten monivaiheisen tunnistautumisen puuttuminen. FortiGate-palomuurit ovat Fortinetin valmistamia verkkopalomuureja, jotka suojaavat yritysten ja organisaatioiden verkkoja erilaisilta kyberuhkilta. Ne eivät ole vain tavallisia palomuureja, vaan osa laajempaa verkkoturvaratkaisua, joka sisältää monia eri suojaustekniikoita.

Tämä mahdollisti pääsyn sekä IT- että OT-verkkoihin. IT-verkko (Information Technology networks) on se, mitä tavallisesti kutsutaan tietoverkoksi. Se on suunniteltu tietojen hallintaan, jakamiseen ja säilyttämiseen organisaatiossa.

OT-verkko (Operational Technology networks) liittyy teollisuus- ja tuotantoprosessien hallintaan, eli se ohjaa koneita, laitteita ja järjestelmiä.

Erityisen huolestuttavaa oli teollisuusautomaatioon kohdistunut sabotaasi. RTU-ohjaimille ladattiin tarkoituksella vioittunutta laiteohjelmistoa, mikä johti laitteiden pysyvään toimintakyvyttömyyteen.

RTU-ohjaimet (Remote Terminal Unit) ovat etäpäätteitä tai etäohjaimia, joita käytetään erityisesti teollisuuden ja infrastruktuurin etävalvonta- ja ohjausjärjestelmissä (kuten SCADA-järjestelmissä). Ne keräävät tietoa kenttälaitteista (antureista, mittareista, venttiileistä, moottoreista) ja lähettää sen ohjausjärjestelmään. Se voi myös ottaa vastaan ohjauskäskyjä keskitetystä järjestelmästä ja suorittaa ne kentällä oleville laitteille.

Hyökkäyksen huipentumana käytettiin kahta räätälöityä wiper-haittaohjelmaa, DynoWiperia ja LazyWiperia. Nämä ohjelmat tuhosivat tiedostoja peruuttamattomasti ylikirjoittamalla ne satunnaisella datalla. Toisin kuin kiristyshaittaohjelmissa, hyökkääjä ei jättänyt mitään viestiä tai vaatimusta. Ainoa tavoite oli tuho.

Tämä on tyypillinen piirre valtiollisille kyberoperaatioille, joissa vaikutus ja häiriö ovat tärkeämpiä kuin taloudellinen hyöty.

Pitkäkestoinen tiedustelu ja valmistelu
Erityisesti CHP-laitoksen tapaus osoittaa, että hyökkäys oli huolellisesti valmisteltu. Hyökkääjä oli ollut verkossa läsnä jo keväästä 2025 alkaen, suorittaen tiedustelua, ottamalla kuvakaappauksia SCADA-järjestelmistä ja varastamalla Active Directory -tietokannan.

Active Directory (AD) on Microsoftin kehittämä hakemistopalvelu, joka auttaa organisaatioita hallitsemaan käyttäjiä, tietokoneita, palvelimia ja muita resursseja keskitetysti verkossa.
Se on kuin yrityksen “digitaalinen hakemisto”, jossa näkyy kaikki käyttäjät, laitteet ja palvelut sekä niiden oikeudet ja säännöt.

Tämä mahdollisti täydellisen hallinnan organisaation sisäisissä verkoissa ja tehokkaan haittaohjelmien jakelun ryhmäkäytäntöjen (GPO) avulla. Tällainen kärsivällinen ja järjestelmällinen toiminta on tyypillistä vain kehittyneille APT-ryhmille.

Haittaohjelmien jakelun ryhmäkäytäntö tarkoittaa tilannetta, jossa Windows Active Directoryn ryhmäkäytäntöjä (Group Policy Objects, GPO) käytetään haittaohjelmien levittämiseen nopeasti ja laajasti organisaation verkossa. Kyse on hyökkäystavasta, ei normaalista tai hyväksyttävästä IT-käytöstä.

Kun hyökkääjä saa järjestelmänvalvojan (Domain Admin) oikeudet Active Directoryyn, hän voi luoda tai muokata GPO:n, esimerkiksi lisäämällä siihen:

  • haitallisen ohjelman asennuksen
  • käynnistysskriptin (startup/logon script)
  • PowerShell-komennon, joka lataa haittaohjelman

Hyökkääjä voi kohdistaa GPO:n:

  • koko domainiin
  • tiettyihin palvelimiin
  • työasemiin tai käyttäjäryhmiin

Kun koneet käynnistyvät tai käyttäjät kirjautuvat sisään, haittaohjelma leviää automaattisesti.

Tekijän attribuutio
CERT Puolan analyysin mukaan hyökkäyksessä käytetty infrastruktuuri, anonymisointimenetelmät ja toimintamallit vastaavat aiemmin dokumentoitua uhkatoimijaa, joka tunnetaan nimillä Static Tundra, Berserk Bear, Ghost Blizzard ja Dragonfly.

Tämä ryhmä on liitetty laajasti Venäjän sotilastiedustelupalveluun, GRU:hun. Ryhmällä on pitkä historia energiasektoriin kohdistuneista kyberhyökkäyksistä erityisesti Ukrainassa, ja Puolan tapaus sopii tähän jatkumoon.

Vaikka raportti mainitsee joitakin yhtäläisyyksiä myös toiseen GRU:hun liitettyyn ryhmään, Sandwormiin, CERT Polska korostaa, ettei suoraa teknistä yhteyttä voida kiistattomasti todistaa. Tästä huolimatta kokonaisarvio tukee vahvasti venäläistaustaista valtiollista toimijaa.

Merkitys ja johtopäätökset
Puolaan kohdistunut kyberhyökkäys edustaa merkittävää eskalaatiota kybertoiminnassa. Se osoittaa, kuinka haavoittuva yhteiskunta on, kun kriittinen infrastruktuuri on yhä riippuvaisempi digitaalisista järjestelmistä.

Hyökkäys toimii varoituksena paitsi Puolalle myös koko Euroopalle. Energiasektori on strateginen kohde, ja sen suojaaminen vaatii sekä teknisiä että poliittisia toimia.

Lopulta hyökkäys ei aiheuttanut laajaa sähkökatkosta tai humanitaarista kriisiä, mutta se paljasti vakavia puutteita kyberturvallisuudessa. Samalla se vahvisti käsitystä siitä, että kyberhyökkäykset ovat nykyään keskeinen osa valtioiden välistä vaikuttamista ja hybridisodankäyntiä.

Johtopäätökset ja pohdinta
Raportissa kuvattu 29. 12.2025 toteutettu hyökkäyskampanja osoittaa poikkeuksellisen monimutkaisen ja kohdennetun kyberhyökkäyksen luonteen, joka kohdistui sekä uusiutuvaan energiaan että suurta CHP-laitosta ja valmistavan teollisuuden yritystä koskeviin tietojärjestelmiin. Hyökkäysten tarkastelu tuottaa useita keskeisiä havaintoja ja johtopäätöksiä.

Koordinoitu ja laaja-alainen hyökkäys
Hyökkäykset toteutettiin samaan aikaan useissa kohteissa, mikä viittaa selvästi järjestelmälliseen ja ennakkoon suunniteltuun operaatioon. Erityisesti hyökkäykset sekä IT- että OT-järjestelmiin korostavat kybersabotaasin kasvavaa uhkaa kriittisille infrastruktuureille.

Haavoittuvuuksien hyväksikäyttö
Kohteiden FortiGate-laitteet ja teollisuusautomaation RTU- ja IED-laitteet sisälsivät useita tunnettuja ja aiemmin korjaamattomia haavoittuvuuksia, kuten oletustunnuksia, puuttuvia monivaiheisia tunnistautumisia ja suojaamattomia päivitysominaisuuksia. Hyökkääjä hyödynsi näitä aukkoja tehokkaasti päästäkseen käsiksi laitteisiin ja aiheuttaakseen tuhoa.

Malwaren ja tuhoamistekniikoiden kehityksellisyys
Hyökkäyksessä käytetty DynoWiper ja LazyWiper olivat tarkoituksellisesti tuhoavia, ilman lunnasvaatimuksia. Molempien haittaohjelmien suunnittelussa korostui tiedostojen pysyvä tuhoaminen ja järjestelmien käyttökatkojen aiheuttaminen, mikä kuvastaa kehittyneitä kyberuhkia, joissa hyökkäyksen tavoite on vahinko, ei taloudellinen hyöty.

Pitkäaikainen tunkeutuminen ja valmistautuminen
Hyökkääjä keräsi tietoja ja varasti käyttöoikeuksia kuukausien ajan ennen tuhoamistoimia. Tämä osoittaa korkean ammattitaidon omaavaa hyökkääjää, joka ymmärtää infrastruktuurin rakenteen ja kykenee suunnittelemaan hyökkäyksen vaiheittain.

Vaikutusten hallinta ja palautuminen
Vaikka hyökkäykset olivat tuhoisia, osa järjestelmistä (esim. uusiutuvan energian tuotantolaitokset) säilytti tuotantokapasiteettinsa, mikä osoittaa, että kriittisten järjestelmien suunnittelussa on saavutettu tiettyjä resilienssitasoja. Tämä korostaa varautumisen ja riskienhallinnan merkitystä kriittisessä infrastruktuurissa.

Uhat ja tulevaisuuden riskit
Hyökkäysten kohdistuminen kriittiseen infrastruktuuriin, mahdollisuus samanaikaisiin operaatioihin useissa kohteissa ja hyökkääjän kyky hyödyntää sekä pilvipalveluita että paikallisia järjestelmiä korostavat tarvetta entistä kattavammille suojautumis- ja valvontamenetelmille.

Yrityksen on huolehdittava vahvasta pääsynhallinnasta, säännöllisistä päivityksistä, monivaiheisesta tunnistautumisesta, sekä OT- ja IT-järjestelmien segmentoinnista jsekä monitoroinnista.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön