Het Cybersecurity and Infrastructure Security Agency (CISA) heeft een cyberbeveiligingswaarschuwing uitgegeven voor de Amerikaanse energiesector na een reeks destructieve cyberaanvallen op energie-infrastructuur in Polen. De waarschuwing roept operators op om standaardwachtwoorden te herzien en de beveiliging op internetverbonden apparaten te versterken nadat het incident in december kwetsbaarheden in operationele technologie en besturingssystemen blootlegde.
Het incident in Polen vond plaats op 29 december 2025, toen meerdere faciliteiten, waaronder meer dan 30 wind- en zonne-energieinstallaties, een gecombineerde warmte- en energiecentrale en een productielocatie, het doelwit werden van gecoördineerde kwaadaardige activiteiten, volgens een analyse van het Poolse Computer Emergency Response Team (CERT-PL). De aanvallers kregen toegang tot internetverbonden edge-apparaten zoals firewalls, virtual private network (VPN)-gateways en andere systemen met standaard of zwakke inloggegevens.
Eenmaal binnen het netwerk hebben aanvallers destructieve malware ingezet die firmware op externe terminalunits (RTU’s) beschadigde, gegevens op menselijke machine-interfaces (HMI’s) wist en gegevens van bedrijfs-IT-systemen wist, aldus de waarschuwing. Deze acties verstoorden het vermogen van operators om kritieke infrastructuur te monitoren en te controleren, hoewel de stroomproductie op getroffen hernieuwbare energiecentrales naar verluidt tijdens het incident doorging.
In haar kennisgeving benadrukte CISA dat internetgeconstrueerde edge-apparaten een primair doelwit blijven voor dreigingsactoren. Deze apparaten koppelen interne controlesystemen aan bredere netwerken en kunnen een toegangspunt bieden voor aanvallers wanneer ze achterblijven met standaard of hergebruikte inloggegevens en zwakke authenticatiebeveiliging. Het advies riep organisaties op om apparatuur van het einde van de levensduur te vervangen en wachtwoordwijzigingen voor alle apparaten af te dwingen.
De richtlijnen wezen ook op het risico van operationele technologie zonder firmwareverificatie. In sommige gevallen kunnen apparaten zonder mechanismen om de firmware-integriteit te valideren permanent beschadigd raken door kwaadaardige code of corrupte configuratiewijzigingen. CISA adviseerde operators om waar mogelijk updates te prioriteren die firmwareverificatie ondersteunen en ervoor te zorgen dat incidentresponsplannen rekening houden met mogelijke OT-storingen.
De Poolse CERT-analyse schreef het incident toe aan een opzettelijke en ontwrichtende campagne die samenviel met bredere geopolitieke spanningen, hoewel er destijds geen grote storingen werden gemeld. Het gebruik van standaardgegevens om initiële toegang te verkrijgen, onderstreepte het voortdurende risico van basisbeveiligingstoezichten in kritieke infrastructuuromgevingen.
In haar waarschuwing moedigde CISA Amerikaanse energiebedrijven en andere exploitanten van kritieke infrastructuur aan om de technische bevindingen van CERT-PL te herzien en aanbevolen beveiligingsmaatregelen in hun operaties te integreren. Deze omvatten het afdwingen van multifactorauthenticatie waar mogelijk, het verminderen van netwerkblootstelling voor OT- en industriële besturingssystemen, en het verwijderen van niet-ondersteunde of kwetsbare hardware uit de dienst.
De instantie heeft zich recentelijk gericht op het verminderen van risico’s van onbeveiligde netwerkapparatuur. In een aparte richtlijn aan federale instanties beval CISA het verwijderen van niet-ondersteunde edge-apparaten uit overheidssystemen, wat een bredere inspanning weerspiegelt om veelvoorkomende aanvalsroutes die bij recente incidenten zijn uitgebuit, te sluiten.
De waarschuwing maakt deel uit van de lopende richtlijnen van Amerikaanse veiligheidsautoriteiten die gericht zijn op het versterken van de bescherming in energie-, productie- en andere sectoren die afhankelijk zijn van onderling verbonden operationele technologie. De kennisgeving van CISA herinnert aan het belang van basiscybersecurityhygiëne, waaronder het wijzigen van standaardwachtwoorden en het handhaven van veilige configuratiestandaarden voor alle internetverbonden apparaten.