Pools CERT: aanval op energiesector via FortiGate-firewalls en standaard logins

maandag, 2 februari 2026 (16:23) - Security.NL

In dit artikel:

Eind december vielen aanvallers meerdere onderdelen van de Poolse energiesector aan — meer dan dertig wind‑ en zonneparken en een warmtekrachtcentrale — zo meldt het Poolse CERT na onderzoek. De indringers kregen binnen via Fortinet FortiGate‑firewalls waarvan de vpn‑interface bereikbaar was vanaf internet; veel accounts gebruikten standaard- of hergebruikte wachtwoorden en er was geen multifactorauthenticatie, waardoor één gecompromitteerd account toegang tot meerdere locaties kon opleveren. Sommige FortiGate‑apparaten waren eerder kwetsbaar geweest voor remote code execution en bij alle onderzochte firewalls voerden de aanvallers op de dag van de aanval een fabrieksreset uit.

Bij de meeste energieparken zorgden Hitachi RTU560‑controllers voor automatisering; die waren vanuit de firewall met standaardinloggegevens bereikbaar. De aanvallers laadden corrupte firmware omhoog om apparaten te saboteren en maakten ook gebruik van hardcoded RDP‑gegevens en Moxa‑serialservers (met ingeschakelde webinterfaces en standaardwachtwoorden) om verdere toegang te krijgen en instellingen terug te zetten. Volgens de onderzoekers verstoorde de aanval de communicatie tussen parken, maar had dit geen effect op de energieproductie.

Ook een productiebedrijf en een warmtekrachtcentrale werden geraakt. In het geval van het productiebedrijf ontstond toegang via een Fortinet‑perimeterapparaat waarvan eerder al een configuratie was gelekt en op een crimineel forum gedeeld. Tijdens de operatie werd wiper‑malware (onder andere DynoWiper en ZovWiper) ingezet om systemen te wissen; antivirusbedrijf ESET rapporteert dat de wipers op de warmtekrachtcentrale werden tegengehouden door aanwezige EDR‑software. Het onderzoek werd bemoeilijkt door ontbrekende logbestanden.

Het incident illustreert bekende zwaktes in industriële omgevingen: verouderde firmware, standaard- of gedeelde credentials en ontbrekende basisbeveiligingen (zoals MFA en up‑to‑date logging). Aanbevelingen zijn onder meer het toepassen van patches, unieke inloggegevens, netwerksegmentatie en robuuste detectie‑ en herstelmaatregelen om schade aan kritieke infrastructuur te beperken.