Cuộc tấn công mạng "có phối hợp" nhắm vào nhiều địa điểm trên lưới điện Ba Lan đã được xác định với độ tin cậy trung bình là do một nhóm tin tặc được nhà nước Nga bảo trợ có tên ELECTRUM thực hiện.
Công ty an ninh mạng công nghệ vận hành (OT) Dragos, trong một báo cáo tình báo mới được công bố hôm thứ Ba, đã mô tả hoạt động cuối tháng 12 năm 2025 này là cuộc tấn công mạng lớn đầu tiên nhắm vào các tài nguyên năng lượng phân tán (DERs).
"Cuộc tấn công đã ảnh hưởng đến hệ thống liên lạc và điều khiển tại các cơ sở nhiệt điện kết hợp (CHP) và các hệ thống quản lý phân phối năng lượng tái tạo từ các trang trại gió và điện mặt trời," Dragos cho biết. "Mặc dù cuộc tấn công không gây ra mất điện, nhưng những kẻ tấn công đã giành được quyền truy cập vào các hệ thống OT quan trọng đối với hoạt động của lưới điện và làm hỏng vĩnh viễn các thiết bị chính tại địa điểm."
Điều đáng chú ý là ELECTRUM và KAMACITE có sự trùng lặp với một nhóm được gọi là Sandworm (còn gọi là APT44 và Seashell Blizzard). KAMACITE tập trung vào việc thiết lập và duy trì quyền truy cập ban đầu vào các tổ chức mục tiêu bằng cách sử dụng tấn công lừa đảo (spear-phishing), thông tin đăng nhập bị đánh cắp và khai thác các dịch vụ bị lộ.
Ngoài quyền truy cập ban đầu, tác nhân đe dọa thực hiện các hoạt động trinh sát và duy trì truy cập trong thời gian dài như một phần của nỗ lực thâm nhập sâu vào môi trường OT mục tiêu và giữ hồ sơ thấp, báo hiệu một giai đoạn chuẩn bị cẩn thận trước các hành động được ELECTRUM thực hiện nhắm vào các hệ thống điều khiển công nghiệp.
"Sau khi kích hoạt truy cập, ELECTRUM tiến hành các hoạt động bắc cầu môi trường IT và OT, triển khai công cụ trong mạng lưới vận hành và thực hiện các hành động cụ thể cho ICS nhằm thao túng hệ thống điều khiển hoặc làm gián đoạn các quy trình vật lý," Dragos cho biết. "Các hành động này bao gồm cả tương tác thủ công với giao diện của nhà điều hành và triển khai phần mềm độc hại ICS được xây dựng có mục đích, tùy thuộc vào yêu cầu và mục tiêu hoạt động."
Nói cách khác, hai nhóm này có sự phân chia vai trò và trách nhiệm rõ ràng, cho phép linh hoạt trong việc thực hiện và tạo điều kiện thuận lợi cho các cuộc tấn công tập trung vào OT kéo dài khi các điều kiện thuận lợi. Gần đây nhất là vào tháng 7 năm 2025, KAMACITE được cho là đã tham gia vào hoạt động quét các thiết bị công nghiệp đặt tại Hoa Kỳ.
Mặc dù chưa có sự gián đoạn OT nào được báo cáo công khai cho đến nay, điều này làm nổi bật một mô hình hoạt động không bị giới hạn về mặt địa lý và tạo điều kiện thuận lợi cho việc xác định và định vị quyền truy cập giai đoạn đầu.
"Các hoạt động định hướng truy cập của KAMACITE tạo ra các điều kiện mà theo đó tác động OT trở nên khả thi, trong khi ELECTRUM áp dụng kỹ thuật thực thi khi thời điểm, quyền truy cập và mức độ chấp nhận rủi ro phù hợp," nó giải thích. "Sự phân chia công việc này cho phép linh hoạt trong thực hiện và cho phép tác động OT vẫn là một lựa chọn, ngay cả khi nó không được thực hiện ngay lập tức. Điều này mở rộng rủi ro ra ngoài các sự cố riêng lẻ và vào các giai đoạn phơi nhiễm tiềm ẩn kéo dài."
Dragos cho biết cuộc tấn công vào Ba Lan nhắm mục tiêu vào các hệ thống tạo điều kiện liên lạc và điều khiển giữa các nhà vận hành lưới điện và tài sản DER, bao gồm các tài sản cho phép kết nối mạng, cho phép kẻ tấn công thành công làm gián đoạn hoạt động tại khoảng 30 địa điểm phát điện phân tán.
Các tác nhân đe dọa được đánh giá là đã xâm nhập các Remote Terminal Units (RTUs) và cơ sở hạ tầng truyền thông tại các địa điểm bị ảnh hưởng bằng cách sử dụng các thiết bị mạng bị lộ và khai thác các lỗ hổng làm Vector truy cập ban đầu. Các phát hiện chỉ ra rằng những kẻ tấn công có hiểu biết sâu sắc về cơ sở hạ tầng lưới điện, cho phép chúng vô hiệu hóa thiết bị truyền thông, bao gồm một số thiết bị OT.
Tuy nhiên, phạm vi đầy đủ của các hành động độc hại do ELECTRUM thực hiện vẫn chưa được biết, với Dragos lưu ý rằng không rõ liệu tác nhân đe dọa có cố gắng đưa ra các lệnh vận hành cho thiết bị này hay chỉ tập trung vào việc vô hiệu hóa liên lạc.
Cuộc tấn công vào Ba Lan cũng được đánh giá là mang tính cơ hội và vội vã hơn là một hoạt động được lên kế hoạch chính xác, cho phép tin tặc tận dụng quyền truy cập trái phép để gây ra nhiều thiệt hại nhất có thể bằng cách xóa dữ liệu trên các thiết bị chạy Windows để cản trở quá trình khôi phục, đặt lại cấu hình hoặc cố gắng làm hỏng vĩnh viễn thiết bị. Phần lớn thiết bị được nhắm mục tiêu vào việc giám sát an toàn và ổn định lưới điện, theo Dragos.
"Sự cố này chứng minh rằng những kẻ tấn công có khả năng cụ thể về OT đang tích cực nhắm mục tiêu vào các hệ thống giám sát và điều khiển phát điện phân tán," nó nói thêm. "Việc vô hiệu hóa một số thiết bị OT hoặc ICS (industrial control system) vĩnh viễn tại chỗ đã biến điều có thể được coi là một nỗ lực định vị trước của kẻ tấn công thành một cuộc tấn công."
