W grudniu 2025 roku amerykańska agencja CISA (Cybersecurity and Infrastructure Security Agency), we współpracy z FBI, NSA oraz międzynarodowymi partnerami, opublikowała wspólne ostrzeżenie dotyczące cyberbezpieczeństwa, a przede wszystkim, aktywności pro-rosyjskich grup hacktywistycznych prowadzących ataki na infrastrukturę krytyczną w Stanach Zjednoczonych oraz na całym świecie. Dokument zwraca uwagę na narastające zagrożenie ze strony grup cyberaktywistów, które — mimo stosunkowo prostych metod działania — są w stanie powodować realne zakłócenia w funkcjonowaniu kluczowych sektorów gospodarki i usług publicznych.
W ostrzeżeniu wskazano kilka prorosyjskich grup hacktywistycznych, w tym Cyber Army of Russia Reborn (CARR), Z-Pentest, NoName057(16), Sector16 oraz powiązane z nimi podmioty i afiliacje. Grupy te deklarują wsparcie dla rosyjskich celów politycznych i geopolitycznych, a ich działalność koncentruje się na demonstracyjnym zakłócaniu funkcjonowania systemów uznawanych za wrogie. W przeciwieństwie do klasycznych grup APT (Advanced Persistent Threat), ich operacje nie opierają się zazwyczaj na zaawansowanym złośliwym oprogramowaniu czy długotrwałym ukrywaniu się w infrastrukturze ofiar, lecz na wykorzystywaniu powszechnych, często zaniedbanych luk w zabezpieczeniach.
Według CISA i partnerów, głównym celem ataków są systemy łączące środowiska IT z systemami operacyjnymi (OT) oraz przemysłowymi systemami sterowania (ICS), które bezpośrednio kontrolują procesy fizyczne. Atakowane są przede wszystkim sektory uznawane za krytyczne dla funkcjonowania państwa i społeczeństwa, takie jak systemy wodociągowe i oczyszczania ścieków, energetyka, rolnictwo oraz sektor spożywczy, a także inne elementy infrastruktury krytycznej. Szczególnie niepokojące jest to, że wiele z tych systemów sterowania pozostaje dostępnych z internetu lub jest chronionych w sposób niewystarczający.
Ostrzeżenie podkreśla, że ataki mają charakter oportunistyczny, co oznacza, że napastnicy nie wybierają celów na podstawie długotrwałego rozpoznania, lecz wykorzystują łatwo dostępne wektory ataku. Najczęściej są to publicznie dostępne usługi zdalnego dostępu, takie jak VNC (Virtual Network Computing – system zdalnego dostępu), słabe lub domyślne hasła, brak wieloskładnikowego uwierzytelniania, brak segmentacji sieci oraz niewłaściwa konfiguracja urządzeń brzegowych. Tego typu podatności są powszechne, zwłaszcza w środowiskach przemysłowych, gdzie systemy bywają projektowane z myślą o dostępności i ciągłości działania, a nie o bezpieczeństwie cybernetycznym.
Choć techniki stosowane przez pro-rosyjskich hacktywistów nie są szczególnie zaawansowane, agencje bezpieczeństwa zwracają uwagę, że ich skutki mogą być bardzo poważne. Nieautoryzowany dostęp do systemów OT i ICS może prowadzić do rzeczywistych szkód fizycznych, takich jak zakłócenia w dostawach wody, przerwy w dostawie energii czy problemy w łańcuchach dostaw żywności. Dodatkowo, prostota tych ataków sprawia, że mogą one być łatwo kopiowane przez inne grupy lub indywidualnych cyberprzestępców, co zwiększa ogólny poziom zagrożenia dla infrastruktury krytycznej na skalę globalną.
CISA, FBI i NSA podkreślają, że infrastruktura krytyczna stanowi fundament funkcjonowania państwa oraz ma bezpośredni wpływ na bezpieczeństwo, zdrowie i codzienne życie obywateli. Nawet krótkotrwałe zakłócenia w jej działaniu mogą generować poważne konsekwencje społeczne i ekonomiczne, dlatego też zagrożenia ze strony hacktywistów nie powinny być bagatelizowane tylko dlatego, że nie wykorzystują one najbardziej zaawansowanych narzędzi cybernetycznych.
W odpowiedzi na zidentyfikowane zagrożenia agencje bezpieczeństwa zalecają operatorom infrastruktury krytycznej podjęcie szeregu działań ochronnych. Kluczowe znaczenie ma ograniczenie bezpośredniego dostępu systemów OT i ICS z internetu, wdrożenie segmentacji sieci oraz stosowanie zapór sieciowych oddzielających środowiska IT od OT. Szczególną uwagę należy zwrócić na usługi zdalnego dostępu, takie jak VNC, które powinny zostać usunięte z przestrzeni publicznej lub odpowiednio zabezpieczone przy użyciu silnych haseł i wieloskładnikowego uwierzytelniania. Równie istotne są regularne aktualizacje i instalowanie poprawek bezpieczeństwa, zwłaszcza w przypadku urządzeń przemysłowych, które często działają na przestarzałym oprogramowaniu.
Agencje rekomendują również wzmocnienie mechanizmów uwierzytelniania, stosowanie unikatowych i silnych haseł, a także wdrożenie systemów monitorowania i wykrywania anomalii w sieci. Szybka identyfikacja nietypowych zachowań oraz sprawna reakcja na incydenty mogą znacząco ograniczyć skalę potencjalnych szkód.