Gdy miliony Polaków siadały do wigilijnej kolacji, w centrach operacyjnych Orange Polska (SOC) rozpętało się cyfrowe piekło. Z komunikatu CERT Orange wyłania się obraz ataku, który redefiniuje krajobraz zagrożeń w Polsce. 24 grudnia, w momencie największego rozluźnienia i obniżonej czujności zespołów IT, uderzono z rekordową mocą 1,5 Tbps (Terabita na sekundę).
Wigilia wybrana z premedytacją
Data ataku nie była dziełem przypadku. Cyberprzestępcy doskonale wiedzą, że okres świąteczny to „miękkie podbrzusze” każdej organizacji. Zespoły bezpieczeństwa działają w okrojonych, dyżurnych składach, a ogólna czujność jest uśpiona. Dodatkowo, w sieci generowany jest gigantyczny, naturalny ruch (życzenia, streaming wideo), co stanowi idealny kamuflaż dla złośliwych pakietów.
Tym razem licznik zatrzymał się na historycznym wyniku: 1,5 Tbps oraz 134,5 Mpps (milionów pakietów na sekundę). To wolumeny, które bez zaawansowanych systemów klasy operatorskiej (tzw. Scrubbing Centers) są w stanie zmieść z powierzchni cyfrowej ziemi niemal każdą firmową infrastrukturę w ułamku sekundy.
Jeden adres IP – cel: każdy z nas
Najbardziej niepokojącym szczegółem raportu jest cel ataku. Nie była to cała podsieć, ale pojedynczy adres IP.
Co to oznacza dla branży? Upada mit, że aby stać się celem terabitowego uderzenia, trzeba być wielką korporacją lub urzędem. Dziś ofiara nie musi posiadać własnej serwerowni. Może to być dowolny użytkownik.
Atakujący dysponują dziś taką nadwyżką mocy obliczeniowej (pochodzącej z przejętych botnetów IoT), że mogą celować w pojedyncze punkty z siłą atomową, nie martwiąc się o koszty.
Arsenał agresora: Jak to zrobili?
Z technicznego punktu widzenia mieliśmy do czynienia z podręcznikowym, choć ekstremalnie silnym atakiem wolumetrycznym. Napastnicy użyli pełnego spektrum wektorów, aby maksymalnie utrudnić obronę:
- DNS Flood & UDP Flood:
- NetBIOS Amplification:
- IP Fragmentation:
Niewidzialna wojna
Dlaczego o tym ataku nie mówiło się przy wigilijnym stole? Ponieważ obrona zadziałała perfekcyjnie. Z perspektywy użytkownika „nic się nie stało” – Netflix nie przestał działać, wiadomości dochodziły.
To jednak pułapka myślowa, w którą wpada wielu prezesów i dyrektorów. Ataki DDoS są lekceważone, bo „nie kradną danych” i „nie szyfrują dysków”. Traktowane są jako problem kogoś innego. Raport Orange dowodzi jednak, że skala i brutalność tych ataków rosną szybciej niż nasza świadomość.
Wnioski na 2026 rok
Skoro operatorzy klasy Tier-1 muszą odpierać uderzenia rzędu 1,5 Tbps, to lokalne systemy bezpieczeństwa w firmach i urzędach są w tym starciu tylko papierową makietą. Wigilia 2025 pokazała jedno: w cyberbezpieczeństwie nie ma „cichej nocy”.