Dragos ordnet die Aktivität mit mittlerer Zuversicht der Gruppe Electrum zu, die sich mit dem Akteur Sandworm überschneidet – auf den andere Berichte den Vorfall ebenfalls zurückführen. Die Einschätzung stammt aus dem heute veröffentlichten neunten jährlichen “Year in Review OT/ICS Cybersecurity Report” des Unternehmens, der Bedrohungsaktivitäten im Bereich der Betriebstechnik (OT) für 2025 nachzeichnet.
Nach Angaben von Dragos arbeitete Electrum im vergangenen Jahr mit einem weiteren, als Kamicite verfolgten Akteur zusammen, um zerstörerische Angriffe auf ukrainische Internetanbieter durchzuführen und industrielle Geräte in den USA dauerhaft zu scannen. Kamicite verschaffte sich den Erstzugang und sorgte für Persistenz, Electrum führte die anschließenden Aktivitäten aus. Kamicite-Aktivitäten gegen die europäische ICS/OT-Lieferkette verfolgt Dragos seit Ende 2024.
“Electrum bleibt einer der aggressivsten und fähigsten OT/ICS-nahen Bedrohungsakteure der Welt”, so Dragos. Selbst beim Angriff auf IT-Infrastruktur treffe die zerstörerische Schadsoftware der Gruppe oft Organisationen, die kritische Betriebsdienste, Telekommunikation, Logistik und Infrastruktur bereitstellen, und verwische so die Grenze zwischen IT und OT. Diese Aktivitäten seien weder theoretisch noch vorbereitend, sondern Teil aktiver Kampagnen, die in reale Ausfälle, Datenzerstörung und koordinierte Destabilisierung mündeten.
Robert Lee, CEO und Mitgründer von Dragos, erklärte in einer Pressekonferenz, sein Unternehmen sei an der Reaktion auf den Vorfall beteiligt gewesen, aus rechtlichen Gründen spiegele der Bericht diesen Prozess jedoch nicht wider. Bedeutsam sei der Angriff, weil es der erste große Angriff auf dezentrale Energieressourcen gewesen sei, die einen wachsenden Teil des Energiesektors ausmachen. “Wenn 25 Prozent Ihres Stromsystems aus Windparks bestehen und jemand sie angreift, kann das erhebliche Folgen haben”, sagte Lee. Es sei das erste Mal überhaupt, dass ein Angriff koordiniert über mehrere solcher DER-Standorte hinweg erfolgt sei.
Lee betonte, es gebe keine Hinweise darauf, dass die Angreifer die volle Kontrolle über die Anlagen erlangt oder versucht hätten, diese fehlzusteuern. Warum der Strom nicht ausfiel und Electrum nicht weiter ging, bleibe eine “interne Debatte”. Polen sei zudem insofern begünstigt gewesen, als DER dort einen kleineren Anteil am Energiemix ausmachen als in anderen Ländern. In den USA, Australien oder DER-lastigen Regionen wie den nordischen Staaten hätte derselbe Angriff potenziell katastrophale, kaskadierende Ausfälle auslösen können.
Die US-Behörde CISA veröffentlichte eine Sicherheitswarnung, in der sie weitgehend den CERT-Polska-Bericht wiederholt. Sie hob hervor, dass die Angreifer über verwundbare, mit dem Internet verbundene Edge-Geräte Erstzugang erlangten und anschließend Wiper einsetzten, die Remote Terminal Units (RTUs) beschädigten. Dadurch sei die Sicht und Kontrolle zwischen Anlagen und Verteilnetzbetreibern verloren gegangen, Daten auf Mensch-Maschine-Schnittstellen (HMIs) seien zerstört und die Firmware von OT-Geräten beschädigt worden. Die betroffenen Anlagen produzierten zwar weiter, ließen sich aber nicht mehr planmäßig steuern oder überwachen.
CISA riet OT-Betreibern, Updates zur Firmware-Verifizierung zu priorisieren und Standardpasswörter etwa auf Edge-Geräten umgehend zu ändern – ein Schwachpunkt, den die Angreifer herstellerübergreifend ausnutzten, um auf HMI und RTUs überzugehen. Dragos empfahl OT-Betreibern unter anderem Notfallpläne, die ausdrücklich regeln, wie Organisationen arbeiten, wenn die Integrität von Feldgeräten, Steuerlogik oder Befehlswegen nicht vorausgesetzt werden kann, sowie eine verteidigungsfähige Architektur durch strikte Autorisierung, OT/IT-Segmentierung und kontrolliertem Fernzugriff.
