Kanada: hacktywiści naruszyli systemy wody, energii i rolnictwa. Co wiemy i jak reagować

Wprowadzenie do problemu / definicja luki

Kanadyjskie Canadian Centre for Cyber Security (Cyber Centre) ostrzegło 29 października 2025 r., iż tzw. hacktywiści wielokrotnie uzyskali dostęp do internetowo wystawionych systemów sterowania przemysłowego (ICS/OT) w kraju. W trzech udokumentowanych przypadkach doszło do manipulacji parametrami procesowymi w: zakładzie wodociągowym (ciśnienie wody), firmie naftowo-gazowej (Automated Tank Gauge – ATG) oraz w silosie do suszenia zboża (temperatura i wilgotność). Ataki miały charakter okazjonalny i oportunistyczny, ale realnie groziły niebezpiecznymi warunkami pracy instalacji.

W skrócie

• Co się stało: hacktywiści wykorzystali bezpośrednio wystawione do Internetu elementy ICS/HMI/SCADA, uzyskując możliwość zmiany nastaw i wywołania alarmów/zakłóceń.
• Skala ryzyka: degradacja usług komunalnych, błędne alarmy w sektorze O&G, potencjalnie niebezpieczne warunki w rolnictwie – bez katastrofalnych skutków, ale z niską barierą wejścia dla napastników.
• Trend: rośnie liczba „mało wyrafinowanych” ataków na OT/ICS, co wcześniej sygnalizowała też CISA.
• Dlaczego teraz: ekspozycja ICS do sieci publicznej + słabe uwierzytelnianie = szybkie „trofea” dla grup szukających rozgłosu (przykład: wpadka prorosyjnej grupy TwoNet na przynęcie-honeypocie).

Kontekst / historia / powiązania

Ostrzeżenie Cyber Centre wpisuje się w globalny trend: od 2024 r. rośnie aktywność grup hacktivist uderzających w infrastrukturę krytyczną – często prosto i głośno, dla efektu medialnego. CISA już w maju 2025 r. alarmowała o „niewyrafinowanych aktorach” celujących w ICS/SCADA w sektorach O&G, wody i żywności.
Równolegle raporty Dragos wskazywały, iż część „hacktywistów” zaczęła łączyć działania z ransomware, co zwiększa presję na operatorów OT (Handala, Kill Security, CyberVolk – przykłady z 2024 r.).
Na świeżo: w październiku 2025 r. badacze Forescout ujawnili, iż prorosyjna grupa TwoNet chwaliła się „zhakowaniem” wodociągów – w rzeczywistości był to sprytnie przygotowany honeypot OT/ICS. Incydent obnażył techniki oparte na słabych hasłach do HMI i manipulacji setpointami/zdarzeniami.

Analiza techniczna / szczegóły luki

Z ostrzeżenia AL25-016 wynika, iż wektor nr 1 to po prostu ekspozycja urządzeń OT do Internetu (np. PLC, RTU, HMI, SCADA, SIS, BMS, IIoT) – często z domyślnymi/dzielonymi kontami lub bez MFA. Skutki obserwowane w Kanadzie:

• Woda: manipulacja wartościami ciśnienia → spadek jakości/ciągłości usługi dla społeczności.
• O&G: manipulacja ATG (Automated Tank Gauge) → fałszywe alarmy.
• Rolnictwo: zmiany temperatury/wilgotności w silosie suszarniczym → warunki potencjalnie niebezpieczne, gdyby nie szybkie wykrycie.

W praktyce takie ataki często wykorzystują:

• Zdalne usługi (np. otwarte HTTP/VNC/RDP/VPN bez MFA) do paneli HMI/SCADA.
• Słabe/lokalne konta (valid accounts) zamiast exploitów 0-day.
• Prostą manipulację procesem (zmiana setpointów, wyłączanie alarmów/logów), jak pokazał przypadek TwoNet w honeypocie.

Praktyczne konsekwencje / ryzyko

• Bezpieczeństwo procesowe: choćby krótkotrwała zmiana parametrów (ciśnienie, temp., poziom zbiorników) może prowadzić do stanu niebezpiecznego.
• Ciągłość działania: fałszywe alarmy ATG = kosztowne przerwy i inspekcje.
• Reputacja/regulator: incydenty w wodzie/energetyce gwałtownie trafiają do mediów i mogą skutkować sankcjami nadzorczymi.
• Eskalacja taktyk: część grup hacktywistycznych łączy działania z ransomware, co zwiększa ryzyko długotrwałych zakłóceń i wycieku danych.

Rekomendacje operacyjne / co zrobić teraz

Na bazie zaleceń Cyber Centre (AL25-016) oraz dobrych praktyk OT/ICS:

1. Inwentaryzacja i „de-exposure” (D+E):
   • Zrób pełną listę wszystkich urządzeń ICS dostępnych z Internetu.
   • Wyłącz bezpośrednią ekspozycję – preferuj VPN z 2FA i listami uprawnień; jeżeli musisz zostawić dostęp, wprowadź wzmożone monitorowanie.
2. Kontrole dostępu: odetnij domyślne konta, wprowadź MFA dla wszystkich ról zdalnych, segmentację sieci (IT/OT) i zasadę najmniejszych uprawnień.
3. Monitoring i testy:
   • IPS/IDS dla ruchu przemysłowego (np. Modbus, DNP3), ciągły VA/PT i tabeltopy z jasno zdefiniowanymi rolami OT/IT.
4. Higiena konfiguracji HMI/SCADA: wymuś timeout sesji, alarmy nieusuwalne bez zgody drugiej osoby (four-eyes), rejestrowanie zmian setpointów. (Wnioski także po analizie incydentu TwoNet-honeypot).
5. Zgodność z wytycznymi: wdrażaj Cyber Security Readiness Goals (CRG) oraz dokumenty Cyber Centre dla ICS/CI jako „minimum operacyjne”.
6. Zgłaszanie i współpraca: w Kanadzie – My Cyber Portal / contact@cyber.gc.ca i lokalna policja; w USA – śledź alerty CISA i przekazuj wskaźniki/artefakty.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Klasyczne kampanie APT przeciw OT celują w długotrwałą infiltrację i precyzyjne uderzenia (zwykle „ciche”). Tu mamy ekspozycję + szybkie „kliknięcie” w HMI/ATG, często przy użyciu słabych haseł lub domyślnych konfiguracji – niski próg wejścia, wysoki PR. Przykład TwoNet pokazuje, iż choćby „głośne” sukcesy bywały na przynęcie, ale techniki (wyłączenie logów/alarmów, manipulacja PLC) są realne i transferowalne do prawdziwych środowisk.

Podsumowanie / najważniejsze wnioski

• Nie zostawiaj HMI/SCADA/PLC w Internecie. To najkrótsza ścieżka do incydentu.
• Prosta manipulacja nastawami może wystarczyć, by zakłócić usługi krytyczne.
• Hacktywiści polują na łatwe cele – widoczność i rozgłos są dla nich równie ważne jak szkody.
• Checklistę Cyber Centre potraktuj jako „baseline” na już; dalej – segmentacja, MFA, monitoring protokołów przemysłowych i ćwiczenia reagowania.

Źródła / bibliografia

1. Canadian Centre for Cyber Security – AL25-016: Internet-accessible ICS abused by hacktivists (29.10.2025). Najważniejsze źródło faktów nt. kanadyjskich incydentów i zaleceń. (Canadian Centre for Cyber Security)
2. BleepingComputer – Canada says hacktivists breached water and energy facilities (29.10.2025). Streszczenie i kontekst medialny. (BleepingComputer)
3. CISA – Unsophisticated cyber actor(s) targeting OT (06.05.2025). Szerszy trend uderzeń w ICS/SCADA. (cisa.gov)
4. Forescout (Vedere Labs) – Anatomy of a Hacktivist Attack: Russian-Aligned Group Targets OT/ICS (09.10.2025) oraz materiały prasowe wtórne (The Record). Przykład TwoNet/honeypot. (Forescout)
5. Dragos – OT/ICS threats escalate… (25.02.2025). Trend: hacktywiści korzystają z ransomware. (dragos.com)