Zaawansowane zagrożenia

Webmail jako cel ataku: operacje APT28 przeciwko Roundcube.

W ostatnich latach operacje prowadzone przez grupę APT28 coraz wyraźniej koncentrują się na kompromitowaniu systemów komunikacyjnych instytucji publicznych – w szczególności platform webmail. Grupa ta, znana również jako Sednit, Sofacy lub Fancy Bear, od wielu lat prowadzi operacje cyberszpiegowskie ukierunkowane na instytucje rządowe, wojskowe oraz sektor obronny państw NATO i Europy Środkowo-Wschodniej. Jednostka ta jest powszechnie wiązana z rosyjskim wywiadem wojskowym GRU i pozostaje jednym z najbardziej aktywnych aktorów prowadzących operacje cyberwywiadowcze. Jednym z najczęściej atakowanych systemów w tych kampaniach jest Roundcube – popularny open-source’owy klient webmail szeroko wykorzystywany w administracji publicznej i organizacjach rządowych. 

W przeciwieństwie do klasycznych ataków na stacje robocze, kompromitacja interfejsu webmail umożliwia uzyskanie bezpośredniego dostępu do komunikacji organizacji bez konieczności instalowania złośliwego oprogramowania w infrastrukturze ofiary. Wystarczy jedynie wykonanie kodu w kontekście przeglądarki użytkownika, aby przejąć dostęp do skrzynki pocztowej i jej zawartości.Skrzynki pocztowe zawierają nie tylko bieżącą komunikację, lecz także archiwalne rozmowy, dokumenty, listy kontaktów oraz metadane pozwalające odtworzyć relacje pomiędzy osobami i instytucjami. Uzyskanie dostępu do jednego konta może więc umożliwić mapowanie całej sieci kontaktów organizacji, identyfikację kolejnych celów oraz prowadzenie dalszych operacji spear-phishingowych z wykorzystaniem przejętej tożsamości. 

Nowe światło na metody działania tej grupy rzuca analiza operacji określanej jako Roundish (przez Hunt.io), w której ujawniono kompletny zestaw narzędzi wykorzystywanych do kompromitowania instancji Roundcube. Analiza infrastruktury była możliwa dzięki błędowi operatorów kampanii, którzy pozostawili publicznie dostępny katalog (tzw. opendir) na jednym z serwerów wykorzystywanych w operacji. Katalog ten zawierał pełny operacyjny zestaw narzędzi, w tym exploity XSS, serwer C2, moduły eksfiltracji danych oraz artefakty pozostawione przez operatorów. Zestaw obejmował ponad 60 plików i kilkadziesiąt katalogów zawierających zarówno wersje rozwojowe, jak i produkcyjne złośliwego oprogramowania, co pozwoliło prześledzić proces tworzenia i testowania narzędzi wykorzystywanych w kampanii. 

Jednym z ważniejszych, zidentyfikowanych w kampanii exploitów był złośliwy skrypt JavaScript wykorzystywany w ataku typu XSS na interfejs webmail Roundcube. Celem jego nie było bezpośrednie przejęcie serwera, lecz uzyskanie dostępu do danych użytkownika poprzez przejęcie sesji webmaila w przeglądarce ofiary.  

Po uruchomieniu w przeglądarce zalogowanego użytkownika działa on w kontekście jego sesji, co pozwala napastnikowi wykonywać operacje w skrzynce pocztowej tak, jakby był samym użytkownikiem. Skrypt rozpoczyna działanie od identyfikacji konta ofiary poprzez zmienną środowiskową Roundcube (rcmail.env.username) oraz nawiązania komunikacji z serwerem kontrolowanym przez operatorów ataku, do którego przesyłane są zebrane dane. 

Jednym z kluczowych elementów kodu jest mechanizm przechwytywania zapisanych w przeglądarce danych logowania. Skrypt tworzy w ukryciu pola formularza username i password z włączonym mechanizmem autouzupełniania, co powoduje automatyczne wstawienie zapisanych w przeglądarce poświadczeń. Po pierwszej interakcji użytkownika ze stroną dane te są odczytywane, kodowane i przesyłane do infrastruktury napastnika. 

Kod implementuje również mechanizm utrzymywania dostępu do korespondencji poprzez automatyczne przekierowanie poczty. W tym celu pobierany jest dodatkowy moduł JavaScript, który tworzy w konfiguracji Roundcube regułę przekierowania wszystkich przychodzących wiadomości na adres kontrolowany przez operatorów kampanii. Dzięki temu napastnicy mogą nadal otrzymywać kopie wiadomości nawet po zmianie hasła przez użytkownika. 

Istotną funkcją skryptu jest także masowa eksfiltracja zawartości skrzynki pocztowej. Wykorzystując wewnętrzne endpointy Roundcube, kod pobiera listę wiadomości z folderów Inbox i Sent, a następnie zapisuje je w formacie .eml i przesyła na zewnętrzny serwer. Dodatkowe moduły odpowiadają za kradzież książki adresowej oraz pozyskanie danych uwierzytelniania dwuskładnikowego (2FA). 

W rezultacie exploit umożliwia napastnikom szybkie uzyskanie pełnego wglądu w komunikację ofiary – od danych logowania, przez historię korespondencji, po kontakty i sekrety uwierzytelniania. Połączenie tych mechanizmów wskazuje, że głównym celem operacji jest długotrwałe pozyskiwanie informacji wywiadowczych z kompromitowanych kont pocztowych. 

Analiza najnowszej operacji Roundish wskazuje na wyraźną kontynuację wcześniejszej kampanii Operation RoundPress, opisanej przez badaczy ESET. W obu przypadkach grupa APT28 wykorzystuje podatności typu XSS w platformach webmail – przede wszystkim Roundcube – w celu uruchomienia złośliwego kodu JavaScript w kontekście zalogowanej sesji użytkownika. RoundPress koncentrował się na wykorzystaniu podatności XSS w różnych platformach webmail, takich jak Roundcube, Horde, MDaemon czy Zimbra. Złośliwy kod – określany jako SpyPress – był dostarczany najczęściej w wiadomościach spear-phishingowych zawierających specjalnie przygotowany kod HTML. Po otwarciu wiadomości przez ofiarę skrypt wykonywał działania wywiadowcze w kontekście sesji webmail, obejmujące przechwytywanie danych logowania, zbieranie kontaktów oraz eksfiltrację wiadomości e-mail z konta użytkownika. 

Nowa operacja Roundish rozwija ten model działania, dostarczając bardziej rozbudowany toolkit przeznaczony do eksploatacji Roundcube. Analiza ujawnionego katalogu na serwerze infrastruktury atakujących pokazała pełen zestaw narzędzi wykorzystywanych w kampaniach. Kluczowym programem zestawu jest złośliwy skrypt JavaScript wykonywany w przeglądarce użytkownika po otwarciu zainfekowanej wiadomości w Roundcube (opisany w szczegółach powyżej). Roundish rozszerza również zestaw technik obserwowanych w RoundPress o nowe elementy. Wśród nich znajduje się m.in. moduł wykorzystujący CSS-based side-channel attack, umożliwiający stopniowe odczytywanie wartości elementów DOM (np. tokenów CSRF) bez bezpośredniego wykonywania kodu JavaScript w kontekście strony. W infrastrukturze operatorów zidentyfikowano także komponenty służące do kradzieży danych z przeglądarek oraz implant dla systemów Linux napisany w języku Go, zapewniający trwałość poprzez mechanizmy cron, systemd oraz modyfikację polityk SELinux. 

Analiza infrastruktury kampanii potwierdza również jej wyraźne ukierunkowanie na cele rządowe w Ukrainie. Jednocześnie infrastruktura operacyjna obejmowała dodatkowe węzły wykorzystywane do pivotingu i tunelowania ruchu, w tym hosty w chmurze Oracle oraz serwery służące jako punkty stagingowe dla dalszych operacji. Zestawienie obserwowanych technik wskazuje, że Roundish stanowi ewolucję narzędzi wykorzystywanych wcześniej w kampanii RoundPress, zachowując podstawowy model kompromitacji webmaili, ale rozszerzając go o bardziej zaawansowane mechanizmy pozyskiwania danych i utrzymywania dostępu. Wspólny zestaw technik – m.in. przechwytywanie danych z menedżerów haseł przeglądarki, tworzenie reguł przekierowania poczty czy eksfiltracja wiadomości poprzez API Roundcube – wskazuje na wspólne pochodzenie obu zestawów narzędzi i ich powiązanie z operacjami prowadzonymi przez APT28. 

W rezultacie kompromitacja webmaila pozwala napastnikom osiągnąć jeden z kluczowych celów operacji wywiadowczych – długotrwały dostęp do komunikacji strategicznych instytucji. Kampanie takie jak RoundPress i Roundish pokazują, że APT28 konsekwentnie rozwija zestaw narzędzi umożliwiających przejmowanie skrzynek pocztowych poprzez podatności aplikacyjne, traktując je jako jeden z najefektywniejszych wektorów pozyskiwania informacji. W nowoczesnych operacjach cyberwywiadowczych kontrola nad komunikacją organizacji – nawet osiągnięta jedynie poprzez kompromitację interfejsu webmail – może być równie cenna jak pełny dostęp do jej infrastruktury informatycznej. 

Więcej informacji: 
https://hunt.io/blog/operation-roundish-apt28-roundcube-exploitation 
https://www.welivesecurity.com/en/eset-research/operation-roundpress/ 

Oszustwa i podszycia

Kopiuj, wklej, zainfekuj: kampania InstallFix wymierzona w użytkowników Claude Code.

Kampania wymierzona w użytkowników Claude Code nie wykorzystuje żadnej luki w oprogramowaniu, nie wymaga kliknięcia w podejrzany link ani uruchomienia załącznika – atak opiera się na socjotechnice. Ofiary są nakłaniane do skopiowania i uruchomienia polecenia instalacyjnego z fałszywej strony dokumentacji, co powoduje pobranie i wykonanie złośliwego kodu. Mechanika ataku (kopiuj -> wklej -> uruchom) jest wariantem techniki określanej przez Push Security jako InstallFix. 

Curl-to-bash 

Homebrew, Rust, nvm, Bun, oh-my-zsh – lista najpopularniejszych narzędzi ekosystemu programistycznego jest długa, ale łączy je jedno, standardowa metoda instalacji to curl-to-bash. Użytkownik kopiuje ze strony projektu jedno polecenie, wkleja je do terminala i zatwierdza enterem. Bezpieczeństwo tej operacji opiera się na dwóch elementach – weryfikacji domeny źródłowej i zrozumieniu wykonywanego kodu. 

Boom na narzędzia AI zmienił jednak krajobraz zagrożeń. Platformy takie jak Claude Code przyciągają teraz użytkowników bez profesjonalnego doświadczenia programistycznego – osoby, które dzięki AI mogą realizować własne pomysły techniczne, nie posiadając głębokiej wiedzy o bezpieczeństwie. Dla tej grupy skrypt instalacyjny to procedura do wykonania, nie kod do weryfikacji. Atakujący szybko dostrzegli tę lukę w świadomości zagrożeń i zaczęli ją systematycznie wykorzystywać. 

Mechanika kampanii 

Badacze z Push Security, którzy jako pierwsi opisali kampanię w marcu 2026 roku, użyli dla tej klasy ataków termin InstallFix, który nawiązuje do popularnej techniki ClickFix, ale z jedną kluczową różnicą. ClickFix wymaga scenografii – fałszywego CAPTCHA, spreparowanego komunikatu błędu czy okna z prośbą o aktualizację. Atakujący musi wymyślić powód, dla którego użytkownik miałby cokolwiek uruchamiać. InstallFix nie potrzebuje żadnego pretekstu. Użytkownik sam z siebie chce zainstalować oprogramowanie, a fałszywa strona daje mu do tego instrukcję. Motywacja jest autentyczna, więc czujność spada. 

Kampania przeciwko użytkownikom Claude Code przebiega w trzech krokach, z których każdy wygląda nieszkodliwie. Atakujący kupują reklamy w Google Ads kierowane na frazy „claude code install”, „claude code CLI” i podobne. Sponsorowany wynik pojawia się nad organicznymi wynikami, a Google skraca wyświetlany URL, ukrywając subdomenę – dodatkowa osłona dla atakującego. Kliknięcie przenosi ofiarę na sklonowaną stronę dokumentacji, gdzie znajduje się identyczny układ, ta sama nawigacja, te same przykłady poleceń, ta sama kolorystyka. Jedyna różnica to adres URL. Na tej stronie polecenie instalacyjne zamiast do serwerów Anthropic wskazuje na infrastrukturę kontrolowaną przez atakujących. 

Push Security zidentyfikowało kilkanaście podobnych domen podszywających się pod Claude Code. Bitdefender, który opublikował niezależną analizę kampanii, ustalił, że do uruchomienia fałszywych reklam prawdopodobnie wykorzystano skompromitowane konto reklamowe należące do malezyjskiej firmy – co tłumaczy, dlaczego reklamy przeszły przez systemy weryfikacji Google. Konto zostało od tamtej pory dezaktywowane. 

Payload: Windows i macOS 

Na Windowsie instrukcja każe użytkownikowi uruchomić polecenie odwołujące się do mshta.exe – rzeczywistego narzędzia systemowego Microsoftu służącego do wykonywania aplikacji HTML. Wybór nieprzypadkowy: mshta.exe jest podpisanym binarnym plikiem Microsoftu, jego uruchomienie nie wzbudza alertów w wielu systemach AV i EDR. Po wykonaniu na system trafia wieloetapowy payload – plik HTA rekurencyjnie deszyfruje osadzony ładunek MSIL, który ostatecznie prowadzi do shellcode. Efektem końcowym jest infostealer kradnący hasła z przeglądarek, ciasteczka sesji, tokeny uwierzytelniające i dane portfeli kryptowalutowych. 

Na macOS polecenie zakodowane w Base64 uruchamia wieloetapowy skrypt zsh, który w tle pobiera binarny plik Mach-O. Po wykonaniu otwiera powłokę systemową i kanał do zdalnego sterowania maszyną. Bitdefender identyfikuje ten komponent jako backdoor zawierający elementy anty-sandboxingowe zbliżone do tych stosowanych przez AMOS Stealera. Żadnego instalatora, żadnego promptu z prośbą o hasło – malware wykonuje się cicho, a użytkownik może kontynuować pracę bez świadomości, że cokolwiek się stało. 

Skalowalność zagrożenia 

Wartym uwagi aspektem tej kampanii nie jest atak na użytkowników konkretnego narzędzia, lecz to, że wzorzec jest trywialnie replikowalny. Push Security wprost wskazuje, że każde narzędzie z wystarczającym ruchem wyszukiwarek i stroną dokumentacji zawierającą polecenie instalacyjne do skopiowania jest potencjalnym celem. Historia ostatnich tygodni potwierdza to w praktyce: fałszywe strony instalacyjne Homebrew dostarczały Cuckoo Stealera, podrobione instalatory OpenClaw były promowane przez wyniki wzbogacone przez Bing AI, a w lutym atakujący wykorzystali nawet mechanizm Artifacts na claude.ai – zanim fałszywe strony zostały usunięte, zdążyły zostać wyświetlone ponad piętnaście tysięcy razy. Każdy z tych wektorów łączy to, że zaufanie do nazwy narzędzia jest przenoszone na kanał dystrybucji, który kontrolują atakujący. 

Kampanie wymierzone w środowisko developerskie przyciągają osobną kategorię zainteresowania grup zagrożeń, co nie jest to przypadkowe. Deweloper ma zazwyczaj podwyższone uprawnienia na własnej maszynie ze względu na naturę pracy, a jednocześnie ta sama maszyna to dostęp do repozytoriów kodu, pipeline’ów CI/CD, kluczy API do usług chmurowych, tokenów dostępowych do środowisk produkcyjnych i infrastruktury klientów. Jeden skompromitowany laptop w dziale inżynierii to potencjalny punkt wejścia do całego łańcucha dostaw oprogramowania. 

Rekomendacje 

To środowisko ryzyka doskonale wpisuje się w szerszy kontekst kampanii malvertisingowych, które tradycyjne mechanizmy obronne po prostu omijają. Nie ma maila phishingowego do przeanalizowania w sandboxie. Jest tylko użytkownik, który wpisał nazwę narzędzia w wyszukiwarce i zobaczył sponsorowany wynik na górze strony. 

Dla użytkowników indywidualnych najskuteczniejszą obroną pozostaje świadomość, że sponsorowany wynik w wyszukiwarce nie gwarantuje autentyczności źródła. Przed uruchomieniem polecenia instalacyjnego warto zweryfikować adres URL strony z oficjalną dokumentacją, sprawdzić certyfikat SSL i – w miarę możliwości – przeanalizować treść wykonywanego skryptu. Dla zespołów bezpieczeństwa rekomendujemy wdrożenie kontroli aplikacji, która ogranicza możliwość wykonywania niezweryfikowanych skryptów i aplikacji. 

Więcej informacji:  
https://pushsecurity.com/blog/installfix/  
https://www.bitdefender.com/en-us/blog/labs/fake-claude-code-google-ads-malware 

Cybercrime

Ransomware w szczecińskim szpitalu.

Informacje o skutecznych atakach ransomware, szczególnie na duże firmy lub istotne instytucje, zwykle docierają do mediów błyskawicznie. Upublicznienie danych, osobowych, kontaktowych lub w niektórych przypadkach wrażliwych, to jedna strona opisywanych konsekwencji tego typu ataków. Drugim dotkliwym aspektem jest niedostępność usług lub znaczące utrudnienia w ich świadczeniu, co zwykle wiąże się z chaosem i niepokojem. Odczuwalne skutki dla kontrahentów, klientów, pacjentów i petentów wiążą się z dużymi emocjami często prowadzącymido pospiesznych wniosków, poszukiwania winnych i przesadnego upraszczania problemu jakim jest ransomware. Tego typu incydent na Samodzielny Wojewódzki Szpital Zespolony w Szczecinie spotkał się właśnie z takimi reakcjami.  

W nocy z 7 na 8 marca 2026 roku szczeciński szpital wojewódzki został zaatakowany ransomware. Szpital działa w trybie awaryjnym i apeluje do pacjentów o udawanie się do innej placówki w miarę możliwości, by uniknąć utrudnień i długiego czasu oczekiwania. Zaszyfrowanie danych uniemożliwiło dostęp do cyfrowej dokumentacji medycznej pacjentów i wymusiło powrót do wersji papierowej, co znacząco wydłuża każdy proces. Przybywający do szpitala na planowane hospitalizacje i wizyty proszeni są o zabieranie swojej dokumentacji medycznej w celu ułatwienia działania w tych szczególnych warunkach. Według CSIRT CeZ system gabinet.gov.pl umożliwia aktualnie wystawianie elektronicznych recept i skierowań. Częściowo dostępne usługi cyfrowe i powrót do fizycznej dokumentacji umożliwiają przyjmowanie oraz leczenie pacjentów. Szpital jest wspierany także przez wojsko. 

Według oświadczenia szpitala dane dotknięte atakiem należą do pacjentów, przedstawicieli ustawowych pacjentów oraz osób upoważnionych, pracowników i kontrahentów/podwykonawców. Są to dane: 

• identyfikacyjne,
• adresowe, 
• kontaktowe, 
• finansowe, 
• kadrowe, 
• znajdujące się w dokumentacji medycznej,
• w ograniczonym zakresie dotyczące aresztowań lub zatrzymań ściśle powiązany z udzielanymi świadczeniami zdrowotnymi. 

W ocenie znajdującej się w komunikacie istnieją wysokie ryzyka wykorzystania tych danych w sposób nieuprawniony i zaistnienia konsekwencji z tego wynikających. Możliwe są ataki phishingowe, szantaż z wykorzystaniem danych medycznych, uzyskanie pożyczek pozabankowych na podstawie numeru PESEL lub ryzyko dyskryminacji na podstawie chociażby ujawnionej płacy.  

Na moment przygotowania publikacji pewny jest nieautoryzowany dostęp do danych, lecz nie ich publiczna dostępność, która znacząco zwiększyłaby prawdopodobieństwo nadużyć. Mimo to, dla osób, których dane szpital przetwarzał, przedstawiono kilka możliwości skutecznego uchronienia się przed konsekwencjami tego naruszenia. Kluczowym krokiem jest zastrzeżenie numeru PESEL swojego i bliskich, którzy mogą nie potrafić zrobić tego sami. To działanie warte podjęcia niezależnie od pojawienia się naruszenia, które nas dotknęło personalnie. Ponadto wykupienie usługi alertów w BIK może zaoferować dodatkową pewność, że dowiemy się o próbie nadużycia, jeżeli taka zaistnieje. W przypadku tak istotnych danych, jak dokumentacja medyczna trudno o zalecenia zupełnie eliminujące ryzyka i potencjalne konsekwencje. Warto zachować ostrożność w przypadku komunikacji powołującej się na dane, które mogły być dotknięte atakiem.  

Aktualnie, żadna z grup ransomware nie przyznała się publicznie do ataku. Według oświadczenia rzecznika prasowego, atakujący zażądali zapłaty kwoty w wysokości kilku milionów dolarów za odszyfrowanie danych. Informacje takie jak data ataku, ilość pozyskanych danych, wysokość i termin płatności okupu są zwykle publikowane na DLS (data leak site) danej grupy, ale nie wydarzyło się to jeszcze w tym przypadku. Brak publicznego ogłoszenia wpisuje się w obserwowaną dysproporcję pomiędzy liczbą ataków ocenianą na podstawie informacji docierających od ofiar do mediów, a publikacjami atakujących. Może to wynikać z wybierania do publikacji jedynie ataków mogących dać grupie uznanie wśród innych cyberprzestępców lub preferencji pozostawania w cieniu, by nie przyciągać uwagi mediów do samej grupy. Jeżeli ofiara zapłaci okup, atakujący uzyskają oczekiwany zysk finansowy, w przeciwnym przypadku mogą je upublicznić lub sprzedać na forach przestępczych, co również pośrednio doprowadziłoby do zysku. Bez publikacji na DLS może się to potencjalnie wydarzyć przy mniejszym zainteresowaniu analityków i służb samą grupą. W związku z atakiem na szpital wojewódzki, Prokuratura Okręgowa wszczęła śledztwo, które może przynieść informację o sprawcach ataku.   

Mylne przekonania dotyczące ataków ransomware i ich źródeł są nieodłącznym elementem tak medialnych spraw. Pojawiające się komentarze mają zwykle tendencje do pochopnych założeń i trywializowania problemów z jakimi borykają się ofiary. Ataki na placówki publiczne i firmy są zwykle sprowadzane do udanego ataku phishingowego, gdzie winnym ma być pracownik wchodzący na złośliwą stronę lub pobierający złośliwy załącznik. Choć nie każdy atak jest szczegółowo opisywany publicznie, to na podstawie dostępnych analiz, między innymi tych publikowanych przez DFIR Report, można zauważyć, że przyczyny są zróżnicowane. Logowanie za pomocą poświadczeń z wycieku, nieograniczony dostęp do panelu logowania RDP (Remote Desktop Protocol), podatności typu RCE (Remote Code Execution) w usługach dostępnych z internetu to inne standardowo wykorzystywane przez grupy ransomware słabości umożliwiające dostęp do infrastruktury ofiary. Zdarzają się oczywiście przypadki ransomware ukrytego pod postacią pliku podszywającego się pod oprogramowanie, które miał zamiar zainstalować użytkownik.

Każdy z tych wektorów wejścia mógł być tym wykorzystanym w ataku na szpital wojewódzki, lecz żaden z nich nie jest tak naprawdę pojedynczą luką łatwą w załataniu. Panaceum nie będzie także pojedyncza dotacja lub wdrożenie polityki bezpieczeństwa, do której organizacja się nie stosuje. Metody działania grup ransomware i historie ich ofiar pokazują, że jedynie wielowarstwowa ochrona może pozwolić przede wszystkim zapobiec infekcji ransomware, ale także ograniczyć jej skutki. Należy poważnie potraktować przeciwdziałanie takim atakom, ponieważ celem może stać się każda firma i instytucja. Warto pamiętać, że udane ataki, to pojedyncze sukcesy wśród masowych prób podejmowanych przez grupy ransomware. Działania rekonesansowe odbywają się na bardzo dużą skalę. Podatne urządzenia widoczne z sieci, ogólnodostępne panele logowania, otwarte porty na serwerach i kanały zdalnego dostępu to stałe punkty zainteresowania grup ransomware. Nawet jeżeli za wektor wejścia można byłoby uznać phishing, to wdrożenie odpowiednich zabezpieczeń (takich jak filtr pocztowy, DNS reputacyjny i rozwiązanie EDR) mogłoby zatrzymać atak przed zaszyfrowaniem danych. Jeżeli złośliwe oprogramowanie już pojawi się na stacji roboczej, segmentacja sieciowa i realizacja zadań przez użytkowników na koncie bez uprawnień administratora może zatrzymać propagację ransomware. Przypominamy podstawowe elementy składowe odporniejszej na ataki infrastruktury: 

• polityka i zasady bezpieczeństwa, 
• zarządzanie podatnościami, 
• aktualizacja oprogramowania i systemów, 
• wieloskładnikowe uwierzytelnianie użytkowników, 
• logowanie zdarzeń, 
• monitoring bezpieczeństwa IT, 
• zabezpieczenia sieciowe (IPS, IDS), 
• segmentacja sieciowa, 
• ograniczone uprawnienia użytkowników, 
• backup (offline, offsite, przetestowany i aktualny). 

Więcej informacji: 
https://www.spwsz.szczecin.pl/news/informacje-organizacyjne-po-cyberataku-na-spwsz  
https://spwsz.szczecin.pl/informacje-administratora-danych-osobowych/zawiadomienie-o-naruszeniu-ochrony-danych-osobowych  
https://www.gov.pl/web/po-szczecin/wszczeto-sledztwo-w-sprawie-ataku-hakerskiego-na-infrastrukture-teleinformatyczna-samodzielnego-wojewodzkiego-szpitala-zespolonego-w-szczecinie 
https://cez.gov.pl/pl/page/o-nas/aktualnosci/natychmiastowa-interwencja-csirt-cez-po-ataku-na-szczecinski-szpital  
https://thedfirreport.com/category/ransomware/  

The post Krajobraz Zagrożeń 05-11/03/2026 appeared first on CERT Orange.

Wiadomość stylizowana jest na oficjalny komunikat od zespołu ChatGPT. W temacie oraz treści pojawia się informacja o wymaganej aktualizacji metody płatności, aby móc dalej korzystać z usługi w wersji Plus. W dalszej części wymienione są również rzekome korzyści z subskrypcji.

Aktualizuj metodę płatności, aby nadal korzystać z Plus

Na końcu wiadomości znajduje się natomiast podpis „Zespół ChatGPT” oraz adres kontaktowy support@openai.com, co ma zwiększyć wiarygodność wiadomości.

Nadawcą maila jest adres noreply@practical-argon-489713-m3[.]firebaseapp.com, który chowa się za prezentowaną nazwą ChatGPT Plus.

Na czym polega oszustwo

Kliknięcie przycisku w wiadomości prowadzi do fałszywej strony internetowej podszywającej się pod serwis płatności. Strona prosi użytkownika o podanie pełnych danych karty płatniczej, w tym numeru karty. Celem ataku jest wyłudzenie danych kart bankowych.

Na co zwrócić uwagę?

• presja na szybkie działanie (konieczność „aktualizacji płatności”),
• link z wiadomości przekierowuje do innej domeny, niż ta oficjalna,
• adres mailowy nadawcy niebędący oficjalną domeną,
• w naszym przypadku – wiadomość otrzymana, pomimo braku aktywnej subskrypcji ChatGPT Plus.

Jak się chronić?

• nie klikaj linków w podejrzanych wiadomościach e-mail,
• sprawdzaj dokładnie adres strony przed podaniem jakichkolwiek danych,
• dane karty płatniczej podawaj wyłącznie w zaufanych serwisach,
• podejrzane wiadomości zgłaszaj do zespołów reagowania na incydenty bezpieczeństwa.

Po przejściu na stronę główną domeny z rzekomymi płatnościami, trafiamy do nieistniejącej witryny.

W przypadku kliknięcia w link i podania danych karty należy niezwłocznie skontaktować się z bankiem w celu jej zastrzeżenia. Domenę z wiadomości mailowej blokuje bezpłatna CyberTarcza, która chroni klientów usług Orange Polska przed zagrożeniami w sieci. Więcej informacji odnośnie CyberTarczy znajdziesz na stronie https://cert.orange.pl/cybertarcza/.

The post Płatność za ChatGPT Plus? Zdradzamy, jak nie dać się oszukać appeared first on CERT Orange.

Społecznościowy gigant pełen jest fałszywych reklam, a nieistniejące sklepy to jedna z istotnych grup przekrętów, na które się natykamy. Czasami mamy do czynienia z tworami wykreowanymi całkowicie przez sztuczną inteligencję, nierzadko jednak oszuści starają się wzbudzić zaufanie podszywając się pod renomowaną markę.

Fałszywy sklep Kazar i „wyprzedaż 90%”

Trzeba przyznać, że reklama na Facebooku faktycznie rzuca się w oczy:

Powyższa reklama wyjątkowo publikowana jest przez konto, którego elementem jest nazwa firmy, trafiliśmy jednak również na reklamy z konta absolutnie niezwiązanego z marką.

Po kliknięciu w link trafiamy na stronę, której wystarczy pobieżnie się przyjrzeć, by zauważyć, że sporo rzeczy jest tutaj nie tak. Ale z drugiej strony – zauważyliśmy też, że witryna jest bardzo dokładną i szczegółową kopią prawdziwego sklepu online marki Kazar.

Ceny? Tak, przede wszystkim one. Do tego oczywiście domena – my analizowaliśmy dwie: kozdnalway[.]com oraz kozinseiwhu[.]com. Spójrzcie na polskie znaki diakrytyczne. Problemy z kodowaniem to częsta sytuacja w przypadku takich oszustw, przygotowywanych przez grupy niepolskojęzyczne. W efekcie regularnie zdarza się, że polskie litery są innego kroju, niż reszta, czy też – jak widać na opisywanym przykładzie – kropki/kreski są znacząco przesunięte.

Sprawdźmy oficjalne dokumenty

Regulamin, warunki, polityka prywatności. To dokumenty, które musi mieć każdy działający zgodnie z prawem sklep. Opisywaliśmy to kilka dni temu w tekście o oszustwie „na Empik”. Co ciekawe, w przypadku opisywanego sklepu na głównej stronie ich nie ma, pojawiają się dopiero w trakcie procesu płatności (o nim później):

Tutaj też kreski nad ź i ć są wyraźnie przesunięte w prawo. A co znajdziemy w „dokumentach”?

„Serwis jest prowadzony przez .”

Jeśli masz pytania, wyślij je na adres .

A jeśli chcesz zwrócić towar, napisz na . żeby otrzymać adres wysyłki.

Kto na tym zarabia?

Jeśli ktoś wątpił, czy to fałszywy sklep Kazar, to już ma pewność. A co dzieje się dalej z naszymi pieniędzmi? Sprawdźmy to. Spróbujmy kupić sneakersy Felix za wyjątkowo okazyjną cenę.

Wysyłka? Tylko InPost, za dodatkowe 25 złotych.

Możemy oczywiście płacić kartą. Wtedy – jeśli używamy karty kredytowej – możliwe jest wszczęcie procedury chargeback. Ale warunkiem jest nieotrzymanie przesyłki bądź otrzymanie czegoś innego, niż było zamawiane. W efekcie zwrot pieniędzy potrwa długo. Można też płacić BLIK-em, co jest bardzo dobre do szybkiej analizy. Użycie Polskiego Standardu Płatności pozwala bowiem na sprawdzenie do kogo mają trafić nasze pieniądze, a następnie – anulowanie transakcji.

Jak widać powyżej – kwota faktycznie jest taka sama, jak cena rzekomego produktu i wysyłki. Odbiorca? Użytkownik serwisu PayPal ukryty za alfanumerycznym kodem.

A na czym polega przekręt? Specyfika modus operandi wskazuje na schemat opisywany na naszych łamach w kwietniu ub.r. przez Grzegorza Zembrowskiego. Możecie się więc zaskoczyć, gdy faktycznie trafi do Was paczka. Rzecz w tym, że nie zawierałaby w opisywanym przypadku zamówionych butów lecz bezwartościowy towar. Zwrot? Możliwy, ale jeśli:

• zdołasz znaleźć jakiś realny kontakt do sprzedawcy
• zapłacisz za przesyłkę do Azji
• poczekasz długo zanim dotrze na miejsce
• pomysłodawca tego przekrętu będzie chciał oddać Ci jakiekolwiek pieniądze

Jak nie dać się oszukać?

Niezależnie od tego, czy „sprzedawcą” jest fałszywy sklep Kazar, czy innej marki: jeśli robisz gdzieś zakupy, sprawdź dokładnie adres strony. Domeny opisywane w tym artykule nie mają nic wspólnego z marką, pod którą się podszywają. Jeśli jesteś na stronie sklepu po raz pierwszy – sprawdź treść wymaganych prawem dokumentów.

Jeśli ich nie ma – jak w opisywanym przypadku – masz pewność, że to oszustwo. Są? Sprawdź, czy:

• zawierają nazwę firmy, czy są generyczne
• czy nazwa firmy jest taka sama jak wynikająca z treści strony?
• jeśli chcesz podrążyć – poszukaj nazwy firmy w CEIDG/wyszukiwarce NIP/REGON

Masz wątpliwości? Zawsze można zadzwonić do sklepu. Nie możesz znaleźć na stronie numeru telefonu? To już powinno wzbudzić w Tobie uwagę na tyle, by podejść do sklepu wyjątkowo ostrożnie.

No i zastanów się zanim uwierzysz w aż tak duże obniżki…

The post Fałszywy sklep Kazar reklamowany na Facebooku appeared first on CERT Orange.

Zacznijmy od tego, że każde urządzenie podłączone do internetu należy traktować jak komputer. Bez względu na to, czy sprząta nasze mieszkanie, przygotowuje posiłek albo podlewa ogród. Wszystkie te urządzenia mają:

• oprogramowanie
• podatności
• przestępców, którzy chcą je wykorzystać

A największy problem stanowi fakt, że poniekąd zapraszamy tych ostatnich do naszych domów. Kiedy? W chwili podłączenia „smart” urządzenia do domowej sieci Wi-Fi.

Twój telewizor rozgląda się w sieci

26 lutego 2026 w serwisie The Verge ukazał się artykuł Janko Roettgersa „Your Smart TV may be crawling the web for AI”. Autor opisuje w nim zastosowanie telewizorów pracujących w pod kontrolą systemów webOS (LG) oraz Tizen (Samsung) w roli węzłów sieci Bright Data.

Bright Data to firma, która oferuje operatorom systemów na urządzenia Smart TV ciekawy model biznesowy. Zaczyna się od tego, że proponują twórcom aplikacji (gier, rozrywki, newsów, itp.) dodanie do niej fragmentu swojego kodu. W kolejnym kroku urządzenie końcowe (w opisywanym przypadku telewizor) na którym zostanie zainstalowana taka aplikacja rozpoczyna przenoszenie ruchu w ramach tzw. residential proxy.

W dużym uproszczeniu – Smart TV zaczyna pełnić rolę pośrednika, udostępniającego swój adres IP. Sprawia to, że różne strony internetowe widzą, że nie wchodzi na nie faktyczny odwiedzający, lecz… Twój telewizor. Wyobraź sobie, że ktoś ma na swoim samochodzie twoje tablice rejestracyjne i wjeżdża na parking gdzie są sczytywane. Źle? No to tutaj jest znacznie gorzej. Residential proxy to udostępnienie samochodu i kluczyków.

„Po co?” – zapytacie. Jest to potrzebne aby oszukiwać serwery, które bronią się przed niechcianym ruchem, dzięki podszywaniu się pod innego użytkownika i jego domowy internet. Cały ten rynek szczegółowo opisał Michał Łopacki w naszym raporcie za rok 2024 (premiera najnowszej edycji 2025 już niebawem!). Jeśli szukasz technicznych ciekawostek zachęcamy do lektury raportu jak i najnowszego krajobrazu zagrożeń CERT Orange Polska.

Kluczowa nowość. Do niedawna Bright Data udostępniała jedynie pakiet SDK. Od pewnego czasu w markecie LG jest jednak dostępne przeszło 200 aplikacji ich autorstwa (gry, streaming, rozrywka dla dzieci, newsy)! Dlaczego? By mieć bezpośredni dostęp i pominąć jakichkolwiek pośredników.

Jakie są ryzyka w byciu węzłem Bright Data?

Przede wszystkim oddajemy nie wiadomo komu (i w jakich celach) możliwość działania w internecie i „legitymowania się” naszym domowym adresem IP! Wróćmy do przykładu z tablicami rejestracyjnymi. I sytuacji, gdzie złodzieje kradną tablice rejestracyjne, tankują paliwo na stacji benzynowej i odjeżdżają bez płacenia. Monitoring pokaże tablice rejestracyjne – nasze tablice. Jak sądzicie, kogo odwiedzi policja?

Tak samo działa to w przypadku residential proxy. Twoje domowe IP może być wykorzystane do scrapowania internetu i uczenia modeli AI (jak w opisywanym w przytaczanym artykule przypadku Bright Data). Może też wykorzystywane przez każdego kto wykupi dostęp, bez względu na intencje. Jednak nie jedyny dostawca tego typu usługi. W sieci serwisów oferujących taki model dostępu do internetu jest mnóstwo. Czy zawsze możemy mieć pewność, w jakim celu nasze łącze zostanie wykorzystane?

Kto może łączyć się w takiej sytuacji z internetem z Twojej domowej sieci? Ktokolwiek. Co więcej – on już w niej jest i może też zaatakować przyłączone do niej urządzenia.

Co robić?

• Przede wszystkim zaglądać regularnie na naszą stronę i czytać kolejne ostrzeżenia. Jest ich już sporo, a regularnie będą wpadać kolejne.
• Skoro nawet aplikacje w oficjalnym markecie mogą być kłopotliwe – tym bardziej unikaj tych spoza marketu.
• Aktualizuj wszystko co się da i nie odkładaj tego w czasie. Poprawki zawsze w pierwszej kolejności skupiają się na bezpieczeństwie. Jeśli sprzęt, z którego korzysta ma już status tzw. end-of-life czyli jest niewspierany czyli aktualizacji nie ma i nie będzie, a jest podłączony do internetu – rozważ odłączenie go od sieci lub wymianę.

A może osobna sieć Wi-Fi dla urządzeń IoT? Jeśli Twój router – jak niektóre z naszych Funboxów – na to pozwala, to absolutnie tak! Przejęte i wystawione na świat urządzenie IoT daje możliwość ataku na pozostałe sprzęty w sieci. Jeśli jednym z nich jest twój firmowy komputer (a za nim firmowe dane i sieć Twojego pracodawcy) sytuacja zaczyna drastycznie eskalować. Czy lodówka może zhakować firmę, w której pracujesz? W niesprzyjających okolicznościach – tak.

Dodaj nową sieć np. dom_IoT i podłącz do niej urządzenia. Pamiętaj aby zapomnieć je w twojej „głównej” sieci – inaczej same się tam znów podłączą. Jeśli router posiada funkcję client isolation włącz ją – uniemożliwi to komunikację urządzeniom z odrębnych sieci. A najlepiej – jak wspominaliśmy – korzystaj z Funboxa.

The post Twój telewizor szpieguje internet. Ciebie też. appeared first on CERT Orange.

Nasze systemy bezpieczeństwa wykryły rosnącą liczbę fałszywych reklam na Facebooku podszywających się pod aktualizacją WhatsApp. Obserwujemy również bardzo dużą aktywność SMS z linkami kierującymi do stron, sugerujących konieczność aktualizacji komunikatora Telegram. W pierwszym przypadku – reklama na Facebooku sugeruje konieczność natychmiastowej aktualizacji WhatsApp. W drugim – SMS od nadawcy Telegram informuje iż „Twoje konto wymaga dodatkowej weryfikacji”.

Obie wiadomości mają do nas przekonać do kliknięcia w link, z tą różnicą, że w pierwszym przypadku prowadzi on do pliku APK (aplikacja na urządzenia z systemem Android), w drugim zaś – do strony udającej witrynę logowania do desktopowej wersji Telegrama. Prawdziwy adres strony to hxxps://web.telegram[.]org/k. Analizowana przez nas witryna to hxxps://vghbnm[.]com, można jednak założyć, że oszuści w miarę blokowania podstawianych przez siebie stron będą też używać innych.

Wpisanie danych logowania do Telegrama przekaże je bezpośrednio do oszusta, który przejmie kontrolę nad naszym kontem. Sytuacja wygląda dużo gorzej w przypadku fałszywej aplikacji, udającej instalator komunikatora WhatsApp. Z prawdopodobieństwem bliskim pewności to trojan wyspecjalizowany w kradzieży poświadczeń logowania do systemów bankowości elektronicznej.

Pamiętaj! Nigdy nie instaluj aplikacji spoza oficjalnych sklepów dla platform mobilnych. Podając gdziekolwiek swój login i hasło – upewnij się, że robisz to na właściwej stronie.

The post Logujesz się do komunikatora w przeglądarce – sprawdź adres strony appeared first on CERT Orange.

Zaawansowane zagrożenia

Gdy zarządzanie siecią staje się wektorem ataku: przypadek Cisco SD-WAN.

W infrastrukturze sieci rozległych ponownie pojawił się problem wymagający analizy oraz podjęcia działań z wysokim priorytetem. Producent rozwiązań sieciowych, firma Cisco, opublikował komunikaty dotyczące krytycznych podatności w Cisco Catalyst SD-WAN. Jedna z nich – CVE-2026-20127 – oceniona została na maksymalną wartość w skali CVSS 3.1: 10.0 i była aktywnie wykorzystywana jako zero-day od 2023 roku. Dodatkowo w przestrzeni publicznej dostępny jest działający kod exploita (proof-of-concept), co znacząco podnosi ryzyko masowej eksploitacji. Sytuacja jest na tyle poważna, że wymaga natychmiastowych działań aktualizacyjnych po stronie organizacji wykorzystujących SD-WAN (Software-Defined Wide Area Network) w środowiskach produkcyjnych.

Czym jest SD-WAN i dlaczego jego kompromitacja jest tak groźna?

SD-WAN to architektura, która umożliwia centralne, programowe zarządzanie ruchem w sieciach rozległych. W modelu Cisco kluczową rolę odgrywają komponenty control plane (Cisco Catalyst SD-WAN Controller; dawniej vSmart i management plane (Cisco Catalyst SD-WAN Manager; dawniej vManage) oraz mechanizmy peeringu i dystrybucji polityk. To właśnie te elementy odpowiadają za dystrybucję polityk routingu i bezpieczeństwa, kontrolę komunikacji między oddziałami, zarządzanie urządzeniami brzegowymi oraz dostęp do interfejsów administracyjnych (m.in. NETCONF na porcie 830). W praktyce kompromitacja kontrolera SD-WAN oznacza przejęcie logicznej kontroli nad całą siecią rozległą organizacji. Atakujący może manipulować ruchem między lokalizacjami, przekierowywać transmisję, wprowadzać nieautoryzowane węzły (roguepeer) lub utrzymać trwały dostęp administracyjny.

CVE-2026-20127 – krytyczne obejście uwierzytelniania

Najpoważniejszą zidentyfikowaną luką jest CVE-2026-20127. Podatność dotyczy mechanizmu uwierzytelniania peeringu w Cisco Catalyst SD-WAN Controller i umożliwia zdalnemu, nieautoryzowanemu atakującemu obejście procesu uwierzytelnienia.Należy podkreślić, iż luka ma charakter pre-authentication, umożliwia uzyskanie uprawnień administracyjnych, pozwala na dostęp do NETCONF oraz umożliwia manipulację konfiguracją całego fabric SD-WAN. Według informacji producenta oraz CISA podatność była wykorzystywana jako zero-day od 2023 roku przez klaster zagrożeń określany jako UAT-8616. Cisco opisuje aktora jako „wysoce zaawansowanego”. Luka została również od razu dodana do katalogu Known Exploited Vulnerabilities. Dodatkowym czynnikiem eskalującym ryzyko jest pojawienie się publicznie dostępnego exploita. Oznacza to przejście z fazy operacji ukierunkowanych do potencjalnej masowej eksploitacji – również przez mniej zaawansowanych aktorów.

Więcej podatności

Wraz z opisaną powyżej podatnością, producent opublikował informacje o kolejnych lukach w Cisco Catalyst SD-WAN Manager, w tym takich umożliwiających:

• obejście uwierzytelniania API,
• eskalację uprawnień do poziomu netadmin,
• wykonywanie nieautoryzowanych operacji administracyjnych.

Choć nie wszystkie z nich są obecnie potwierdzone jako aktywnie wykorzystywane, ich charakter – dotyczący bezpośrednio warstwy zarządzania – sprawia, że w połączeniu z CVE-2026-20127 znacząco zwiększają powierzchnię ataku.

Dlaczego aktualizacja SD-WAN jest procesem złożonym?

W przeciwieństwie do klasycznych systemów serwerowych, aktualizacja środowiska SD-WAN:

• obejmuje centralny control plane,
• wymaga zachowania kompatybilności wersji między kontrolerami a urządzeniami brzegowymi,
• często wymaga okien serwisowych w wielu lokalizacjach,
• może wpływać na ciągłość działania usług w skali całej organizacji.

W organizacjach globalnych proces aktualizacji może oznaczać koordynację zmian w wielu strefach czasowych i testy regresyjne polityk routingu. To właśnie złożoność operacyjna bywa czynnikiem opóźniającym wdrożenie poprawek – a w tym przypadku czas działa na korzyść atakującego. Dodatkowo producent nie wskazał skutecznego obejścia (workaround), więc jedyną metodą remediacji pozostaje aktualizacja do wersji zawierającej poprawki bezpieczeństwa.

Podsumowanie

Mamy do czynienia z podatnością infrastrukturalną o charakterze strategicznym, atakującą sam mechanizm zarządzania siecią rozległą. W połączeniu z publicznie dostępnym proof-of-concept exploita oraz wpisem do katalogu aktywnie wykorzystywanych luk ryzyko należy uznać za wysokie. To kolejny przykład rosnącego trendu ataków wymierzonych w warstwę zarządzania infrastrukturą – tam, gdzie kompromitacja pojedynczego komponentu daje atakującemu kontrolę nad całą architekturą. Dodatkowej powagi dodaje skomplikowany proces aktualizacji, którego opóźnienie nie oznacza „odłożonego ryzyka”, lecz realną możliwość utraty kontroli nad całym środowiskiem WAN organizacji.

Szczęściem w nieszczęściu może być fakt, że technologia SD-WAN nie jest rozwiązaniem masowym. Wykorzystywana jest głównie przez duże, rozproszone organizacje. Oznacza to, że problem nie dotyka „wszystkich”, jednak jego skutki – w przypadku materializacji ryzyka – mogą być bardzo dotkliwe, nie tylko dla samej organizacji, ale również dla jej klientów i partnerów biznesowych.

Więcej informacji:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-authbp-qwCX8D4v
https://github.com/zerozenxlabs/CVE-2026-20127—Cisco-SD-WAN-Preauth-RCE

Telco

Od aplikacji na telewizorze do residential proxy.

Od wielu lat w CERT Orange Polska obserwujemy rosnący udział sprzętu IoT w sieciach residential proxy, jednak w ostatnich miesiącach zjawisko to przybiera na sile w segmencie urządzeń Smart TV. Do podobnych wniosków dochodzą także inni badacze, co potwierdza opublikowany 26 lutego 2026 w portalu The Verge  artykuł Janko Roettgersa „Your smart TV may be crawling the web for AI” opisujący zastosowanie telewizorów pracujących w systemach LG webOS oraz Samsung Tizen w roli węzłów sieci Bright Data. Mechanizm ten opiera się na specyficznym modelu biznesowym, który firma Bright Data oferuje operatorom aplikacji telewizyjnych jako alternatywę wobec tradycyjnych reklam. Umożliwia deweloperom integrację Bright SDK do tworzonego przez nich oprogramowania, przez co urządzenie, na którym zostanie ono zainstalowane, rozpoczyna przenoszenie ruchu w ramach sieci residential proxy.

Dla zrozumienia skali zagrożenia kluczowe jest zdefiniowanie czym jest omawiana sieć. Sieć residential proxy to infrastruktura pośrednicząca, w której ruch internetowy przekierowywany jest przez urządzenia końcowe posiadające adresy IP przydzielone użytkownikom domowym przez dostawców usług internetowych. W odróżnieniu od klasycznych serwerów proxy działających w centrach danych, węzły takiej sieci znajdują się w rzeczywistych sieciach residential, dzięki czemu generowany przez nie ruch wygląda jak aktywność zwykłych użytkowników internetu. Z tego powodu adresy IP pochodzące z takich sieci są trudniejsze do zablokowania i często wykorzystywane do omijania mechanizmów ograniczających dostęp, filtrowania geograficznego lub systemów wykrywania ruchu automatycznego. Ruch sieciowy generowany przez takie punkty jest postrzegany przez serwery docelowe jako wysoce wiarygodny i pochodzący od legalnego użytkownika, co czyni go niezwykle cennym narzędziem dla podmiotów chcących omijać blokady regionalne lub systemy anty-botowe.

Twórca aplikacji wynagradzany jest finansowo proporcjonalnie do wielkości zasobów (adresów IP i pasma użytkowników końcowych) wnoszonego do sieci. Bright Data wymaga, aby podczas instalacji/pierwszego uruchomienia deweloper pozyskał zgodę użytkownika na takie praktyki. W zamian za to otrzymuje np. bezpłatny dostęp do dodatkowych funkcji aplikacji albo brak reklam. Model ten budzi jednak wątpliwości natury etycznej, głównie w kontekście świadomości użytkowników końcowych. Choć firma twierdzi, że proces odbywa się za zgodą właściciela urządzenia, w praktyce odpowiednie zapisy znajdują się w długich, skomplikowanych regulaminach i są napisane bardzo ogólnikowo. Taka nietransparentność generuje realne ryzyko, ponieważ domowy adres IP może zostać wykorzystany do działań przestępczych, w tym do przeprowadzania ataków na inne serwisy lub podszywania się pod użytkownika. W efekcie to właściciel telewizora może zostać pociągnięty do odpowiedzialności za ruch, nad którym deweloper aplikacji ani producent sprzętu nie sprawują realnej kontroli

Oprócz partnerstwa z twórcami aplikacji, Bright Data publikuje także własne bezpłatne aplikacje w sklepach wybranych platform. Jako przykład można podać LG Content Store,  w którym znajduje się obecnie ponad 200 aplikacji pochodzących od dewelopera Bright Data. W większości są to proste gry zręcznościowe bądź logiczne, a także animowane wygaszacze ekranu. W opisach aplikacji podkreślane jest, że są one bezpłatne i nie zawierają reklam. Działania takie mają na celu zwiększenie bazy uczestników sieci residential proxy i pozyskanie dodatkowych węzłów. W modelu takim firma nie musi też dzielić się zyskiem z deweloperami aplikacji.

Bright Data twierdzi, że posiada ponad 150 milionów węzłów na całym świecie. Deklaruje, że są one pozyskiwane w sposób etyczny, za zgodą użytkownika. Według firmy sieć wykorzystywana jest przede wszystkim do zbierania danych w celu trenowania sztucznej inteligencji. W praktyce jednak firma ma w swojej ofercie bezpośredni dostęp do residential proxy sprzedawany w modelu subskrypcyjnym oraz pay-as-you-go. Ostatecznie bezpieczeństwo domowej sieci zostaje oddane w ręce firm trzecich sprzedających dostęp do łączy w modelu subskrypcyjnym lub pay-as-you-go. Użytkownicy są zmuszeni ufać skuteczności procedur weryfikacji klientów, co w rzeczywistości pozostawia ich na łasce dostawców takich jak Bright Data. Brak przejrzystości w zakresie tego, jakie podmioty faktycznie korzystają z zakupionych węzłów, sprawia, że inteligentny telewizor przestaje być jedynie odbiornikiem treści, a staje się nieświadomym elementem komercyjnej, a potencjalnie nawet szkodliwej infrastruktury sieciowej.

Więcej informacji:
https://www.theverge.com/column/885244/smart-tv-web-crawler-ai
https://il.lgappstv.com/main/tvapp/seller?sellrUsrNo=22941915
https://brightdata.com/pricing/proxy-network/residential-proxies
https://cert.orange.pl/aktualnosci/raport-cert-orange-polska-2022-juz-jest/
https://cert.orange.pl/aktualnosci/raport-cert-orange-polska-2024-juz-dostepny/

Cyberwar

Eskalacja konfliktu USA/Izrael–Iran.

Obecna eskalacja konfliktu na linii Stany Zjednoczone i Izrael kontra Iran to wydarzenie, które trudno zamknąć w jednej kategorii analitycznej. To nie tylko operacja militarna – to punkt przecięcia narracji geopolitycznej, globalnych przepływów energii i aktywności w cyberprzestrzeni. 28 lutego 2026 roku uruchomiono operację “Epic Fury”, a skutki tego uderzenia – od cen ropy na europejskich giełdach po aktywność irańskich grup APT i kilkudziesięciu kolektywów hakerskich – wykraczają daleko poza Bliski Wschód. To środowisko, w którym granica między konfliktem regionalnym a ryzykiem systemowym przestaje być wyraźna.

Sto pięć lat historii w tle

Zanim zrozumiemy, co wydarzyło się 28 lutego, warto cofnąć się o chwilę. Tydzień przed eskalacją minęła 105. rocznica zamachu stanu Rezy Chana – późniejszego Rezy Szaha Pahlaviego, ojca władcy obalonego przez rewolucję islamską w 1979 roku. Zbieżność z momentem ataku to prawdopodobnie przypadek, ale w irańskiej narracji historycznej symbole tej klasy są żywe i aktywnie wykorzystywane. Rewolucja Chomeiniego radykalnie zredefiniowała relacje Teheranu z Zachodem: zakładnicy w ambasadzie USA przez 444 dni, doktrynalny antyizraelizm jako element legitymizacji reżimu, a w tle wyniszczająca dekada wojny z Irakiem, w której Waszyngton stał po stronie Bagdadu.

Program nuklearny to kolejna warstwa tej historii. Od 2002 roku, kiedy ujawniono irańskie ośrodki wzbogacania uranu, region żyje w rytmie negocjacji, sankcji i sabotażu. Stuxnet w 2010 roku otworzył erę cyberwojen jako instrumentu geopolitycznego – celowane złośliwe oprogramowanie zniszczyło setki wirówek w Natanzie, pokazując, że operacje poniżej progu klasycznej wojny mogą mieć wymierny efekt strategiczny. Porozumienie JCPOA z 2015 roku, wycofanie się USA trzy lata później, kolejne rundy negocjacji zakończone fiaskiem – to kronika nierozwiązanego kryzysu, który wybuchł teraz z nową siłą. Ostatnie rozmowy w Genewie, na początku lutego 2026 roku, zakończyły się bez przełomu, mimo że omański minister spraw zagranicznych opisywał je jako „znaczący postęp”. Dwa tygodnie później rakiety były już wystrzeliwane.

Operacja Epic Fury

To, co wydarzyło się w godzinach porannych 28 lutego, od razu pokazało, czym są współczesne operacje wojskowe. Obok precyzyjnych uderzeń na irańską infrastrukturę militarną i nuklearną uruchomiono skoordynowany komponent cybernetyczny, którego celem było odizolowanie irańskiego kierownictwa właśnie w momencie, gdy potrzebowało ono komunikacji najbardziej. Połączenie Iranu z internetem spadło do poziomu 1-4 procent normalnej przepustowości. Agencja informacyjna IRNA przestała działać. Portal Tasnim, powiązany z IRGC, został zhakowany i przez krótki czas wyświetlał treści antyreżimowe, w tym komunikaty skierowane bezpośrednio do Irańczyków. Zostały skompromitowane popularne aplikacje mobilne: modlitewnik BadeSaba (z pięcioma milionami pobrań) oraz Saba Wind, wyświetlając użytkownikom komunikat „pomoc nadeszła, nie bójcie się”. Przewodniczący Połączonego Komitetu Szefów Sztabów USA publicznie potwierdził rolę US Cyber Command i US Space Command w degradacji irańskich sieci dowodzenia – to kontynuacja trendu zwiększonej transparentności wokół ofensywnych operacji cybernetycznych, która wpisuje się w nową doktrynę administracji Trumpa. Kilka tygodni wcześniej prezydent zasugerował, że podczas operacji w Wenezueli, blackout w Caracas był wynikiem „pewnej wiedzy eksperckiej”. Dla tej administracji ujawnienie komponentu cyber nie ma wyłącznie charakteru informacyjnego, lecz pełni funkcję odstraszającą i komunikacyjną wobec państw trzecich.

Irańska odpowiedź w cyberprzestrzeni

Iran od lat traktuje operacje cybernetyczne jako centralny instrument siły. Grupy powiązane z IRGC i Ministerstwem Wywiadu działają w spektrum od szpiegostwa i kradzieży danych, przez wipery niszczące infrastrukturę, po kampanie wpływu i ataki na systemy przemysłowe. Wyróżnia się atak Shamoon na Saudi Aramco w 2012 roku – złośliwe oprogramowanie rozprzestrzeniło się na trzydzieści pięć tysięcy stacji roboczych w jednej z największych firm naftowych świata.

Po operacji Epic Fury irańskie zdolności państwowe są tymczasowo utrudnione przez degradację infrastruktury i izolację sieciową, ale to nie oznacza, że odpowiedź w cyberprzestrzeni nie nadejdzie. Historycznie po każdej eskalacji kinetycznej obserwujemy wzrost irańskiej aktywności cybernetycznej – po uderzeniach Izraela w Iran w 2025 roku liczba cyberataków na izraelskie cele wzrosła o siedemset procent. Również tym razem zmobilizował się ekosystem haktywistyczny — powołano „Electronic Operations Room” pod szyldem Cyber Islamic Resistance – parasol koordynacyjny, pod którym operuje kilkadziesiąt grup z całego świata. Nowe dane z raportów dotyczących aktywności DDoS po uruchomieniu operacji Epic Fury pokazują, że w okresie 28 lutego – 2 marca 2026 zidentyfikowano około 149 zgłoszeń DDoS, powiązanych z opisywanym konfliktem, wymierzonych w 110 organizacji w 16 krajach, w tym głównie instytucje państwowe, finansowe i telekomunikacyjne na Bliskim Wschodzie oraz w Europie.

Ataki DDoS na rządowe portale Jordanii, Kuwejtu, Arabii Saudyjskiej i Bahrajnu to pierwsza fala. Do tego dochodzą niezweryfikowane twierdzenia dotyczące dostępu do interfejsów OT/ICS publikowane przez grupy takie jak FAD Team czy Cyber Islamic Resistance. Weryfikacja tych twierdzeń jest trudna, ale wzorzec jest spójny z tym, co obserwowaliśmy w poprzednich eskalacjach: cyberataki zaczynają od widocznych zakłóceń serwisów publicznych, a następnie ewoluują w kierunku prób oddziaływania na infrastrukturę krytyczną.

Do tej mieszaniny dołączyły grupy prorosyjskie. NoName057(16) ogłosił ataki na izraelskie cele, a kilka kolektywów rosyjskich deklaruje operacje równolegle wobec celów w Europie i na Bliskim Wschodzie. Podział linii frontu w cyberprzestrzeni nie jest już symetryczny względem podziałów w świecie fizycznym.

Zawór globalnego systemu energetycznego

Aby zrozumieć skalę ekonomicznych konsekwencji, wystarczy spojrzeć na mapę. Cieśnina Ormuz łączy Zatokę Perską z Morzem Arabskim i przepływa przez nią około dwudziestu milionów baryłek ropy naftowej dziennie – czyli mniej więcej jedna piąta globalnego zapotrzebowania. Arabia Saudyjska, ZEA, Irak, Kuwejt, Katar – ich eksport energetyczny fizycznie nie ma innej trasy. Alternatywna przepustowość rurociągów omijających cieśninę wynosi zaledwie dwa i pół miliona baryłek. Różnica jest przytłaczająca.
Kluczowe jest rozróżnienie między fizycznym zablokowaniem cieśniny a jej zamknięciem ekonomicznym. W pierwszych dniach konfliktu nie doszło do formalnej blokady, lecz do gwałtownego wzrostu premii wojennej (koszt płacony za zwiększone ryzyko) i decyzji armatorów o wstrzymaniu tranzytu. W praktyce efekt dla rynku był zbliżony – przepływ został ograniczony, mimo że infrastruktura nie została zniszczona. Brent w ciągu 48 godzin wzrósł o osiem procent, europejskie ceny gazu skoczyły o jedną czwartą – szczególnie bolesne dla kontynentu, który wciąż nie odbudował pełnej dywersyfikacji po odcięciu rosyjskiego gazu. Katar dostarcza istotną część europejskiego LNG właśnie przez tę cieśninę.

Jest jeszcze chiński wymiar tej układanki. Chiny importują przez cieśninę blisko sześć milionów baryłek dziennie, a irańska ropa stanowiła w 2025 roku ponad osiemdziesiąt procent irańskiego eksportu – kupowana po cenach zdyskontowanych przez tak zwane „shadow ships”, omijające mechanizmy sankcyjne. Jednocześnie USA wcześniej, w styczniu 2026, zakłóciły wenezuelskie dostawy ropy do Chin. Oba kanały zostały uderzone niemal jednocześnie – jest to element geopolitycznej gry o kontrolę nad energetycznym zapleczem rywala.

Znaczenie poza regionem

Koordynacja domen kinetycznej i cyber jako norma operacyjna to zmiana strukturalna, nie incydentalna. Każda kolejna eskalacja zbrojna będzie teraz domyślnie zawierała komponent cybernetyczny – zarówno po stronie atakujących, jak i w ramach obrony. Brytyjskie NCSC ostrzegło przed ryzykiem tzw. cyber spillover – rozlania się operacji odwetowych poza bezpośrednich uczestników konfliktu. W praktyce oznacza to podwyższone ryzyko ataków DDoS, kampanii phishingowych oraz wiperów wymierzonych w podmioty postrzegane jako część zachodniego ekosystemu polityczno-gospodarczego. Radware wskazuje, że około 22–23% globalnej aktywności DDoS w omawianym okresie celowało w organizacje z regionu Europy.

Irańskie grupy APT historycznie targetowały podmioty energetyczne, finansowe i rządowe w USA, Izraelu i krajach Zatoki – ale ich zasięg wielokrotnie wykraczał poza ten krąg. Kampania RedKitten z początku 2026 roku, wymierzona w NGO zajmujące się prawami człowieka, używała złośliwych dokumentów udających rejestry protestów – ofiary były w Europie. MuddyWater w ostatnich miesiącach przed eskalacją prowadził kampanie w regionie MENA (Middle East and North Africa) z infrastrukturą hostowaną u europejskich dostawców, aktywnie używając legalnych narzędzi do zarządzania zdalnego oraz utworzenie kanału C2.

Warto też pamiętać o wymiarze energetyczno-technologicznym, który w 2026 roku nabiera zupełnie nowego znaczenia. Boom infrastruktury AI to boom na moc obliczeniową i stabilne zasilanie. Zakłócenie globalnych przepływów energetycznych jest jednocześnie zakłóceniem w dostępie do mocy dla data centers. Rosnąca zależność rozwoju technologicznego – w tym infrastruktury AI i centrów danych – od stabilnych dostaw energii powoduje, że bezpieczeństwo energetyczne i bezpieczeństwo cyfrowe przestają funkcjonować jako odrębne domeny. Zakłócenia w regionie odpowiedzialnym za znaczącą część globalnych przepływów surowców energetycznych przekładają się bezpośrednio na stabilność systemów technologicznych w skali międzynarodowej. W tym kontekście eskalacja na Bliskim Wschodzie ma wymiar systemowy, wykraczający poza klasyczne ramy konfliktu regionalnego.
 
Więcej informacji:
https://unit42.paloaltonetworks.com/iranian-cyberattacks-2026/
https://www.radware.com/security/threat-advisories-and-attack-reports/ddos-activity-following-operation-epic-fury-roaring-lion/
https://socradar.io/blog/cyber-reflections-us-israel-iran-war/
https://www.csis.org/analysis/how-will-cyber-warfare-shape-us-israel-conflict-iran
https://earth.org/iran-war-what-the-gulf-conflict-tells-us-about-energy-security/
https://www.ncsc.gov.uk/news/ncsc-advises-uk-organisations-take-action-following-conflict-in-middle-east

Future

Chińska platforma CyberStrikeAI w arsenale atakujących.

CyberStrikeAI to, jak napisali sami twórcy, platforma AI-native napisana w Go służąca do testowania bezpieczeństwa. Ma integrować ponad 100 różnych narzędzi, inteligentny silnik orkiestracji i system specjalistycznych umiejętności. W założeniu ma wspomagać przeprowadzanie działań ofensywnych i zarządzanie nimi na każdym etapie. Repozytorium pojawiło się już w listopadzie 2025 roku, lecz dopiero tegoroczna aktywność zaobserwowana od 20 stycznia do 26 lutego sprawiła, że analitycy Team Cymru bliżej przyjrzeli się temu narzędziu.

Twórca repozytorium posługujący się nazwą „Ed1s0nZ” stworzył także inne narzędzia mogące wspomagać ataki, lecz w opisie zapewnia o badawczym i pasjonackim charakterze publikacji. Prosi także o nieużywanie narzędzi do nielegalnych celów. Niestety nie wszyscy stosują się do tych zaleceń i według analizy NetFlow przeprowadzonej przez TeamCymru w tym roku użytkownicy CyberStrikeAI aktywnie atakują zróżnicowane cele. Usługa jest hostowana głównie na serwerach w krajach chińskojęzycznych (Chiny, Singapur, Hong Kong), co nie jest zaskoczeniem w przypadku narzędzia stworzonego przez osobę posługującą się przede wszystkim tym właśnie językiem. Team Cymru przedstawiło także analizę powiązań twórcy repozytorium z chińskim działaniami klasy state-sponsored w cyberprzestrzeni. Autor wszedł w interakcję na GitHubie z Knownsec, firmą realizującą działania klasy APT dla Chin, przedstawiając im swój projekt w grudniu. Ed1s0nZ powiązano także z CNNVD, czyli chińską bazą podatności, której celem jest zbieranie luk typu zero-day przed ich publikacją. Użytkownik sam umieścił (lecz później usunął) informację o otrzymaniu nagrody za wartościowy wkład w działania programu.

Analitycy Team Cymru zwrócili uwagę na CyberStrikeAI dzięki publikacji zespołu CTI Amazona. Amazon Threat Intelligence zaobserwowało przejęcie ponad 600 urządzeń FortiGate z wykorzystaniem komercyjnych rozwiązań generatywnej AI. Użyto różnych narzędzi GenAI do przeprowadzenia na dużą skalę ataków bazujących na znanych technikach. Początkowo skanowane były urządzenia pod kątem otwartych portów zarządzania. Po uzyskaniu dostępu do urządzeń, zwykle zdobywanego za pomocą popularnych lub domyślnych poświadczeń, atakujący przeprowadzali rozpoznanie infrastruktury za pomocą narzędzi również noszących znamiona kodu generowanego z użyciem AI. Podczas ataku skrypty wykorzystujące AI wspomagały atakujących między innymi w parsowaniu, odszyfrowywaniu i organizacji skradzionych danych. Na publicznie dostępnym serwerze, na którym według Team Cymru znalazło się właśnie rozwiązanie CyberStrikeAI, obecne były także inne pliki związane z pracą operacyjną atakujących. Przygotowane przez AI plany ataku, konfiguracje urządzeń ofiar i kod źródłowy narzędzi. Cele znajdowały się niemal na całym świecie, a według Amazon Threat Intelligence threat actor jest motywowany finansowo i rosyjskojęzyczny.

Team Cymru spodziewa się powszechniejszego wdrożenia i wykorzystania CyberStrikeAI w atakach, w tym tych przeprowadzanych przez grupy klasy APT. Rozwiązania open-source są stałym elementem krajobrazu zagrożeń, co obniża trudność zrealizowania coraz bardziej zaawansowanych złośliwych działań. Szczególnym przypadkiem jest wykorzystywanie rozwiązania zarówno przez atakujący zajmujących się cyberprzestępczością jedynie dla zysków, jak i przez grupy APT. Utrudnia to atrybucję i zidentyfikowanie nadrzędnego celu ataku, na co zwykle pozwalał na przykład charakterystyczny malware. Mimo coraz szerszego wykorzystania CyberStrikeAI nie jest rozwiązaniem idealnym. W atakach zaobserwowano trudności w przypadku bardziej skomplikowanych działań i napotkanych problemów oraz nieudane próby wykorzystania exploitów. To narzędzie, jak i silniki AI stojące za nim, z pewnością będą dalej rozwijane, co może ograniczyć częstotliwość pojawiania się tego typu przeszkód i umożliwić realizowanie bardziej zaawansowanych scenariuszy ataku.

Już wcześniej pojawiały się inne rozwiązania mające z pomocą AI ułatwiać działania cyberofensywne, jak na przykład HexStrike AI, lecz nie zawsze można dokładnie prześledzić ich wykorzystanie. Narzędzia lub frameworki używane przez atakujących zwykle nie są łatwe do zidentyfikowania na podstawie efektów ich działania. Ataki przeprowadzane za pomocą CyberStrikeAI i identyfikacja infrastruktury umożliwiły wartościowy z perspektywy analityków wgląd w cały proces. Dzięki temu widoczna jest metodologia atakujących, ograniczenia wynikające z opierania się jedynie na AI i zróżnicowanie w wykorzystaniu potencjału narzędzia w zależności od poziomu grupy. Na ten moment sama platforma wspomagająca ataki nawet na każdym ich etapie nie zastąpi kreatywności i doświadczenia zaawansowanych atakujących. Jednak grupa APT skutecznie wykorzystująca narzędzia AI do przyspieszenia i automatyzacji ataków oraz procesów decyzyjnych to poważne zagrożenie.

Każde działania zabezpieczające, szczególnie w przypadku urządzeń brzegowych i zabezpieczania dostępu użytkowników, to istotny krok oddalający organizację od stania się celem zautomatyzowanych, masowych ataków. Niezwłoczne aktualizacje w przypadku istotnych luk, wdrożenie wieloetapowego uwierzytelnienia oraz zmiana domyślnych lub powszechnych poświadczeń do kluczowych usług to najlepszy sposób, by stać się trudniej osiągalnym celem dla atakujących.

Więcej informacji:
https://aws.amazon.com/blogs/security/ai-augmented-threat-actor-accesses-fortigate-devices-at-scale/
https://www.team-cymru.com/post/tracking-cyberstrikeai-usage

The post Krajobraz Zagrożeń 26/02-04/03/2026 appeared first on CERT Orange.

Fałszywy sklep znajdziemy pod adresem empikpl[.]shop. Taka domena to klasyczny socjotechniczny trik, mający sprawić, by ofiary widząc kojarzący się bezpiecznie ciąg (empik pl) podświadomie mu zaufały. Znajomy początek adresu może sprawić, że nie zwrócimy uwagi na wzbudzającą podejrzenia końcówkę. Tym bardziej, gdy korzystamy z urządzenia mobilnego, gdzie pasek adresu po chwili znika, a w oczy rzuca nam się wyłącznie znane logo.

(Zbyt) niskie ceny, dziwne polskie znaki

Pierwszy znak ostrzegawczy widać już na powyższym zrzucie ekranu. I nie jest nim fakt, że Empik sprzedaje generatory, bo faktycznie taki towar też znajdziemy w ofercie ich sklepu online. Ale cena poniżej 150 PLN za sprzęt kosztujący tysiące złotych to oczywisty znak, że to nie może być prawda. Promocje się zdarzają, czasami można trafić na naprawdę wyjątkowe. Ale telewizor 65″ za 135 złotych?

Dodajcie do tego jeszcze „wyprzedaż z powodu zamknięcia sklepu”, dziwny zwrot (wybierać) i niezmieniony przez oszustów „domyślny tytuł”. Spójrzcie też na polskie znaki diakrytyczne. Przestępca korzystał z czcionek nieprzystosowanych do naszego języka, co widać po odróżniających się od reszty treści ż, ę, ć, ś i ł.

Co zrobić, gdy nie mamy pewności, czy sklep jest prawdziwy? Przyjrzyjmy się linkom do wymaganej prawem oficjalnej dokumentacji.

Empik, HBC, czy… sklep z Nowej Zelandii

Zajrzyjmy więc najpierw do pozycji „O nas”. Czy oszust postarał się i przekleił treść z prawdziwej strony, czy wybrał treść generyczną?

Szukaliśmy w sieci identycznie brzmiącego oświadczenia, bez sukcesu. W polskiej przestrzeni funkcjonuje kilka firm o takiej nazwie, lub zawierających HBC jako element swojej nazwy, jednak bazując na treści strony nie da się jej przyporządkować do żadnej z nich.

Co więcej, okazuje się, że większość ze stron na dole jest podpisana jak widać na poniższym zrzucie ekranu:

Czym jest Smith&Caughey? Była to sieć nowozelandzkich domów towarowych, funkcjonujących od 1880 roku, zamkniętych w czerwcu 2025.

To nie jest Empik – czyli skontaktuj się z [ ]

Jeśli do tego momentu mielibyście jeszcze jakieś wątpliwości – znikną ostatecznie, gdy spróbujemy skontaktować się z „Empikiem”:

Nawet przy mnóstwie dobrej woli nie da się skojarzyć tego adresu z kontaktem do sprzedażowego giganta. A co w sytuacji, gdy chcielibyśmy skontaktować się z Działem Obsługi Klienta? Proszę bardzo, piszcie na adres [ ].

Pod tym samym „adresem” dowiemy się też o Warunkach Świadczenia Usług. Spójrzcie jak również tutaj wyglądają polskie znaki diakrytyczne.

A co dzieje się, gdy przechodzimy do zakupu? Teoretycznie mieliśmy możliwość płatności BLIK-iem, jednak dzięki interwencji bezpieczniaków z Empiku w momencie naszej analizy ta opcja była już zablokowana przez Polski Standard Płatności. W efekcie wybór BLIK-a przekierowywał do serwisu PayPal na nieistniejącej podstronie Pozostaje karta płatnicza, a tu już standardowo – podamy dane, a przestępcy zrobią zakupy do poziomu limitów naszej karty.

Jak nie dać się oszukać?

Te uwagi powtarzamy na naszych łamach regularnie, ale fakt, iż internauci wciąż dają się oszukiwać, dowodzi, że warto ostrzegać cały czas.

• zawsze sprawdzaj adres strony, na której chcesz robić zakupy, wpisywać hasło lub wchodzić w inne, wrażliwe interakcje
  • jeśli kończy się inaczej, niż na .pl czy .com – podchodź do niej z zasadą ograniczonego zaufania
  • w przypadku domen niestandardowych, w stylu .xyz, .top, czy .online – najlepiej po prostu zrezygnuj z zakupów
• zniżki rzędu 90% na wszystkie towary – nie ma takich okazji
• warto być wyczulonym na drobne, ale istotne rzeczy: choćby polskie znaki wyglądające inaczej niż inne litery
• nie masz pewności – spójrz w oficjalne dokumenty, do których linki znajdują się zazwyczaj na dole strony (polityka prywatności, warunki świadczenia usług, itp.)
  • jeśli nie ma adresów pocztowych/mailowych, nazw firm, treść wygląda na generyczną – to oszustwo
  • nazwa firmy w dokumencie jest inna, niż na stronie – oszustwo

The post Niby Empik, ale zupełnie niepodobny appeared first on CERT Orange.

Zaawansowane zagrożenia

Arkusze, dokumenty i C2 — Google Sheets API w atakach.

25 lutego zespół Google Threat Intelligence Group (GTIG) opublikował raport dotyczący globalnej kampanii cyberszpiegowskiej z użyciem backdoora GRIDTIDE. Według analizy, ataki przeprowadzała grupa UNC2814 powiązana z Chinami, śledzona przez GTIG od 2017 roku. W przedstawionej analizie zawarto opis technik wykorzystywanych w kampanii oraz opis działań zabezpieczających przez Google. Ta perspektywa jest szczególnie wartościowa i zwraca uwagę na szerszy problem wykorzystywania przez atakujących legalnych usług, których właściciele muszą wykazać się odpowiedzialnością. 

Atak został wykryty dzięki monitorowaniu zasobów klienckich przez Google, podczas którego zidentyfikowano podejrzaną aktywność na serwerze CentOS. Początkowo zaobserwowano plik binarny wywołujący powłokę jako root i późniejsze działania pozwalające atakującemu ocenić, czy rzeczywiście uzyskał dostateczne uprawnienia.  

GRIDTIDE to zaawansowany backdoor napisany w języku C posiadający funkcje wykonywania komend oraz pobierania i wgrywania plików. Jako C2 wykorzystuje on Arkusze Google, które służą w tym scenariuszu do transferu danych oraz komend. Po uruchomieniu payloadu i ustanowieniu trwałego dostępu z wykorzystaniem usług atakujący wykorzystywał SoftEther VPN Bridge do komunikacji z zewnętrznym adresem IP. Malware wymaga obecności na hoście dodatkowego pliku z konfiguracją umożliwiającą dostęp do dokumentu w Google Drive wykorzystywanego jako kanał C2. Po wyczyszczeniu arkusza Google z zawartych tam danych z wykonania wcześniejszych komend, GRIDTIDE zbiera dane na temat hosta i umieszcza je w komórce V1 arkusza. Następnie, posługując się specjalnie skonstruowanymi komendami wydaje polecenia złośliwemu oprogramowaniu, które w odpowiedzi podaje informacje umieszczane w arkuszu. Status wykonania zadania pojawia się w komórce A1, a eksfiltrowane dane w zakresie od A2 do komórki określonej w komendzie. Przesyłane dane były zakodowane za pomocą Base64. 

Analiza GTIG nie wykazała eksfiltracji wrażliwych plików w trakcie tej kampanii, lecz uzyskany dostęp mógł na to pozwolić. W innych kampaniach realizowanych przez powiązane z Chinami grupy obserwowano działania mające na celu kradzież danych dotyczących między innymi połączeń i wiadomości wyselekcjonowanych celów. Według raportu na dzień 18 lutego grupa UNC2814 zaatakował 53 ofiary w 42 krajach, w tym w Polsce, a podejrzenie infekcji zidentyfikowano w kolejnych 20 krajach. Globalna skala ataku pokazuje szeroki zasięg cyberszpiegowskich działań grup powiązanych z Chinami. Zespół GTIG podkreśla, że klastry aktywności UNC2814 i Salt Typhoon są zupełnie odrębne od siebie. Charakteryzują się innymi celami oraz taktykami, technikami i procedurami (TTP). 

GTIG poinformowało ofiary opisywanych ataków, ale opisano również szereg działań podjętych w celu zakłócenia aktywności UNC2814. Wszystkie projekty w Google Cloud, zidentyfikowana infrastruktura, konta i dostęp do API Arkuszy Google kontrolowane przez atakującego zostały wyłączone. Ponadto zespół GTIG podzielił się IoC (Indicators of Compromise) zarówno plikowymi, jak i sieciowymi, które zidentyfikowali w ramach śledzenia grupy. W raporcie znalazła się także reguła YARA pozwalająca wykryć GRIDTIDE. 

W raporcie podkreślono, że choć tym razem atakujący wykorzystali Arkusze Google, każde podobne rozwiązanie lub innego rodzaju API może zostać użyte w tym samym celu. Odpowiedzialne działania właścicieli nadużywanej infrastruktury są kluczowe dla skutecznej analizy i unieszkodliwiania ataków. To szczególnie ważne w erze chmurowej, gdzie tego typu infrastruktura staje się fundamentem działania małych oraz dużych firm, ale także prywatnych projektów, o których bezpieczeństwie klient nie zawsze pamięta. Co więcej, skuteczny monitoring pozwala dostawcy infrastruktury obserwować ataki w szerszej perspektywie. Umożliwia to zaobserwowanie wzorców, masowych ataków, ale także zaawansowanych kampanii, które klient widzi tylko w zakresie swoich zasobów. Dodatkowy kontekst pozwala skuteczniej przeciwdziałać atakom i ograniczać ich skutki, jeżeli oczywiście dostawca rzetelnie podchodzi do zagrożeń i komunikacji w razie incydentów. 

Więcej informacji: 
https://cloud.google.com/blog/topics/threat-intelligence/disrupting-gridtide-global-espionage-campaign  

Cybercrime

Diesel Vortex — double trouble.

Systemy kontroli wersji, takie jak Git, są powszechnie wykorzystywane do zarządzania kodem i współpracy zespołowej. Niewłaściwie zabezpieczone repozytorium może jednak ujawnić historię rozwoju projektu, strukturę narzędzia, dane konfiguracyjne, a nawet elementy infrastruktury operacyjnej. Zależność ta dotyczy nie tylko legalnych podmiotów – z tych samych narzędzi korzystają również grupy cyberprzestępcze. 

W przypadku grupy Diesel Vortex, aktora systematycznie atakującego zachodnią logistykę, punktem wyjścia do analizy stało się publicznie dostępne repozytorium .git. Zawierało ono kompletną platformę phishingową, historię commitów oraz artefakty operacyjne z kampanii prowadzonej od września 2025 do lutego 2026 roku. Dostępny kod, charakteryzujący się wielowarstwową strukturą, zawiera ślady wcześniejszych iteracji oraz osierocone pliki i niespójne elementy konfiguracyjne. Wskazuje to na organiczny rozwój projektu w czasie i jego adaptację do kolejnych kampanii, przy czym analiza nie potwierdza jednoznacznie wieloletniej ciągłości grupy pod tą samą nazwą, a raczej ewolucję samego narzędzia. Charakter zmian w kodzie sugeruje, że platforma, funkcjonująca wewnętrznie pod nazwami GlobalProfit oraz MC Profit Always, była przygotowywana do wykorzystania w modelu komercyjnym, zbliżonym do Phishing-as-a-Service. 

Dane pozyskane z repozytorium, odzyskany wewnętrzny dokument planistyczny oraz logi z webhooków Telegrama pozwoliły także na odtworzenie operacyjnego podziału ról w ramach grupy. Zidentyfikowano wyraźną segmentację funkcji, obejmującą programistów odpowiedzialnych za rozwój kodu i rotację infrastruktury domenowej, wsparcie komunikacyjne oraz personel zajmujący się pozyskiwaniem kontaktów. Artefakty językowe w kodzie i dokumentacji wskazują na rosyjskojęzyczne zaplecze techniczne, jednak logi operacyjne odnotowujące komunikację w języku armeńskim sugerują wielojęzyczny charakter zespołu.  

Architektura samej platformy została zaprojektowana z myślą o maksymalnym utrudnieniu detekcji poprzez zastosowanie modelu Dual-Domain. Polega on na rozdzieleniu funkcji domen: pierwsza z nich (Advertise) pełni funkcję prezentacyjną i buduje pozory legalności, natomiast właściwe przechwytywanie danych odbywa się na ukrytej domenie operacyjnej (System), ładowanej poprzez pełnoekranową ramkę iframe. Mechanizm ten wykorzystuje podpisane tokeny HMAC generowane dynamicznie dla żądań iframe, co skutecznie utrudnia próby analizy przy użyciu standardowych crawlerów. 

W celu maskowania aktywności przed filtrami antyspamowymi, grupa stosowała homoglify cyrylickie w nazwach domen, wykorzystując znaki wizualnie identyczne z łacińskimi. Infrastruktura była chroniona przez zaawansowany, dziewięcioetapowy mechanizm filtrowania ruchu, obejmujący fingerprinting środowiska oraz blokowanie adresów IP powiązanych z dostawcami chmury i firmami cyberbezpieczeństwa, takimi jak Palo Alto Networks, Google czy Microsoft. W przypadku wykrycia środowiska analitycznego serwer zwracał odpowiedzi HTTP sugerujące nieistniejący zasób lub błąd po stronie serwera, co powoduje, że infrastruktura wydaje się nieaktywna, mimo że pozostaje operacyjna dla rzeczywistych ofiar. 

Model operacyjny nie zakładał pasywnego zbierania danych – zastosowany mechanizm pollingu wymuszał cykliczną komunikację przeglądarki ofiary z serwerem w oczekiwaniu na instrukcje. Dzięki integracji z Telegramem, operatorzy mogli w czasie rzeczywistym nadzorować każdą sesję, co pozwalało na manualne sterowanie procesem przechwytywania kodów MFA i dynamiczne reagowanie na zachowanie ofiary.  

Dopiero w tym kontekście widoczny staje się docelowy model wykorzystania infrastruktury. Platforma została zaprojektowana z myślą o wyspecjalizowanym uderzeniu w sektor transportu, spedycji i logistyki (TSL), a konkretnie firmy transportowe oraz brokerów z Ameryki Północnej i Europy. Wykorzystując 22 szablony phishingowe imitujące platformy takie jak DAT, Truckstop, RMIS czy TIMOCOM, atakujący przejęli ponad 1600 unikalnych zestawów poświadczeń. Grupa pozyskiwała dane uwierzytelniające oraz szczegółowe informacje o aktualnych zleceniach transportowych, jednak kluczowym elementem ataku było zdobycie numerów MC (Motor Carrier Number), nadawanych przez Federal Motor Carrier Safety Administration, które stanowią cyfrowy odpowiednik licencji operacyjnej. Przejęcie tych danych umożliwiało sprawcom podszycie się pod legalne firmy i realizację oszustwa Double Brokeringu. Polega on na przejęciu zlecenia transportowego i podzleceniu go innemu podmiotowi przy jednoczesnej modyfikacji dokumentacji przewozowej tak, aby płatność od brokera trafiła do sprawców. Równolegle grupa prowadziła próby oszustw finansowych wymierzonych w użytkowników kart paliwowych EFS, co pozwalało na szybką monetyzację dostępów. 

Mimo biegłości technicznej, grupa pozostawiła ślady forensicowe pozwalające na nakreślenie jej otoczenia operacyjnego. Domena rejestracyjna oraz metadane grafik przygotowywanych w programie Adobe Photoshop, zawierające rosyjskojęzyczne nazwy warstw oraz strefę czasową UTC+3 (m.in. Moskwa), korelują z rosyjskojęzycznym środowiskiem działania. Dodatkowo, analiza infrastruktury wskazała na wspólny adres kilku spółek logistycznych w Moskwie, co może sugerować osadzenie kampanii w środowisku posiadającym głęboką wiedzę branżową. Choć skala finansowa podmiotów operujących pod tym adresem, takich jak UNIX GROUP LLC z przychodem rzędu 154 mln USD w 2024 r., wskazuje na potężne zaplecze gospodarcze, nie stanowi to bezpośredniego dowodu ich udziału w przestępczym procederze.

Podsumowując, analiza wskazuje na wysoki poziom dojrzałości organizacyjnej i technicznej grupy, wyraźny podział ról oraz zdolność do komercjalizacji infrastruktury phishingowej. W realiach sektora TSL tożsamość cyfrowa przewoźnika oraz dostęp do informacji o zleceniach transportowych stanowią zasób o krytycznym znaczeniu operacyjnym. W odpowiedzi na tego typu zagrożenia kluczowe znaczenie ma wdrożenie uwierzytelniania odpornego na phishing (np. FIDO2). 

Więcej informacji: 
https://haveibeensquatted.com/blog/diesel-vortex-inside-the-russian-cybercrime-group-targeting-us-eu-freight 
https://ctrlaltintel.com/threat%20research/DieselVortex/ 

Future

Gemini, powiedz mi, jak przejąć Androida. 

Najnowsze ustalenia zespołu ESET Research wskazują na istotną zmianę jakościową w krajobrazie zagrożeń mobilnych. Odkryty przez badaczy malware nazwany PromptSpy jest pierwszym znanym przypadkiem złośliwego oprogramowania na system Android, które integruje generatywny model językowy bezpośrednio w swoim łańcuchu operacyjnym. Nie chodzi tu o wykorzystanie sztucznej inteligencji na etapie przygotowania kampanii, generowania phishingu czy kodu – lecz o użycie dużego modelu językowego w trakcie działania malware na zainfekowanym urządzeniu. To przesunięcie z etapu „AI jako narzędzie twórcy ataku” do „AI jako element wykonawczy malware” stanowi jakościowy przełom w sposobie projektowania mobilnego złośliwego oprogramowania. 

Dotychczas mobilny malware opierał się na statycznie zakodowanych regułach interakcji z interfejsem użytkownika: zdefiniowanych współrzędnych kliknięć, twardo zapisanych sekwencjach akcji czy prostych mechanizmach automatyzacji UI. PromptSpy zrywa z tym podejściem. W swoim module wykorzystuje zewnętrzny model językowy – w tym przypadku usługę Google Gemini – do analizy aktualnego stanu interfejsu użytkownika w czasie rzeczywistym. Malware generuje zrzut struktury UI w postaci XML, przesyła go do modelu AI wraz z instrukcją w języku naturalnym i otrzymuje odpowiedź zawierającą rekomendowane działania: które elementy należy kliknąć, jakie gesty wykonać i w jakiej kolejności. Otrzymane instrukcje są następnie wykonywane na urządzeniu. W praktyce oznacza to dynamiczną, kontekstową adaptację do konkretnej wersji systemu, nakładki producenta czy konfiguracji urządzenia, bez konieczności implementowania w kodzie setek wariantów logiki. 

Kluczowym zastosowaniem tego mechanizmu w PromptSpy jest utrzymywanie trwałości (persistence) poprzez manipulowanie interfejsem w taki sposób, aby utrudnić użytkownikowi zamknięcie lub usunięcie aplikacji. W połączeniu z modułem zdalnego dostępu opartym na technologii VNC daje to operatorom możliwość pełnej kontroli nad urządzeniem ofiary: podglądu ekranu, wykonywania działań w jej imieniu, przechwytywania danych oraz blokowania prób deinstalacji. Generatywna AI nie odpowiada więc za cały łańcuch ataku, lecz pełni rolę krytycznego elementu decyzyjnego, który zwiększa odporność malware na różnice środowiskowe i utrudnia analizę statyczną. 

W szerszym kontekście krajobrazu zagrożeń oznacza to zmiana, w którym logika działania malware staje się częściowo „zewnętrzna” i dynamiczna. W tym podejściu analitycy tracą też możliwość statycznej a nawet dynamicznej analizy, gdyż tradycyjne podejście do analizy kodu – polegające na identyfikacji twardo zakodowanych funkcji, ciągów znaków czy schematów wywołań API – traci na skuteczności, gdy kluczowe decyzje są podejmowane przez model językowy działający poza aplikacją. W efekcie pojawia się nowa warstwa nieprzewidywalności: to samo malware może zachowywać się odmiennie w zależności od kontekstu, odpowiedzi modelu czy nawet zmian w samym modelu AI. Dynamika ta wpisuje się w szerszy trend „uzbrajania” systemów generatywnych w funkcje operacyjne, co znacząco skraca cykl adaptacji atakujących do nowych zabezpieczeń. 

Wykrywanie tego typu zagrożeń wymaga odejścia od czysto sygnaturowych metod detekcji na rzecz podejścia behawioralnego i kontekstowego. Kluczowe znaczenie ma monitorowanie nietypowych wzorców komunikacji sieciowej – w szczególności powtarzalnych zapytań do usług LLM zawierających dane strukturalne interfejsu użytkownika – oraz anomalii w korzystaniu z uprawnień takich jak Accessibility Services, overlay czy zdalny dostęp do ekranu. Istotne jest także wykrywanie pętli interakcji UI realizowanych w sposób nieprzypominający działań człowieka, o wysokiej częstotliwości i deterministycznej sekwencyjności, charakterystycznej dla automatyzacji sterowanej algorytmicznie. W środowiskach korporacyjnych konieczne staje się rozszerzenie polityk bezpieczeństwa o kontrolę wykorzystania aplikacji komunikujących się z modelami AI oraz korelację zdarzeń sieciowych. 

PromptSpy pokazuje, że LLM przestają być wyłącznie narzędziem wspomagającym atakujących na etapie przygotowawczym, a stają się elementem wykonawczym w czasie rzeczywistym. W perspektywie oznacza to dalsze przyspieszenie ewolucji zagrożeń, większą adaptacyjność malware oraz konieczność redefinicji podejścia do analizy TTP. Krajobraz zagrożeń w erze LLM będzie coraz mniej oparty na statycznych artefaktach, a coraz bardziej na dynamicznych interakcjach między złośliwym kodem a zewnętrznymi systemami inteligentnymi. Dla zespołów bezpieczeństwa oznacza to potrzebę integracji monitoringu zachowań aplikacji, analizy ruchu do usług AI oraz głębszego zrozumienia sposobu, w jaki modele językowe mogą zostać włączone w operacyjne łańcuchy ataku. 

Więcej informacji: 
https://www.welivesecurity.com/en/eset-research/promptspy-ushers-in-era-android-threats-using-genai/ 

The post Krajobraz zagrożeń 19-25/02/2026 appeared first on CERT Orange.

Zauważyliśmy dziś kampanię fałszywych wiadomości SMS, która wykorzystuje ten sam sender-id (nadpis). W praktyce oznacza to, że w polu nadawcy możemy zobaczyć „e-T0LL”. To klasyczna metoda phishingu i wykorzystania literówki. Tym razem „0” zastępuję „O”. A jeśli nadal nie widzisz różnicy, to zero zastępuje literkę o. Wiadomości zawierają różne linki ale prowadzące do tej samej strony, której celem jest wyłudzenie danych karty płatniczej.

Nie wszędzie jest wymagany mechanizm 3D-secure (potwierdzenia transakcji kartą w aplikacji mobilnej banku. Jest to więc wystarczająca ilość danych aby dokonać nieautoryzowanej transakcji. Scenariusz jest następujący:
– Podaj nr rejestracyjny pojazdu (ma to uwiarygodnić „weryfikację”)
– dowiadujemy się, że mamy nieopłacony przejazd na niską kwotę (wartość jest rotacyjna)
– jesteśmy przekierowani do płatności kartą.

Na co zwrócić uwagę ?
– presja czasu, aby szybko dokonać płatności, to oczywiste bo strona już została zablokowana w CyberTarczy Orange,
– skrócone linki,
– prośba o podanie danych karty bez danych, które mogą zweryfikować „winowajcę” oczekującego na mandat
– w końcu nadpis, który jest podobny do instytucji związanej z transportem drogowym.

Pamiętaj aby:
– Podejrzliwie traktować nieoczekiwane smsy zawierające skrócone linki,
– weryfikować sprawy bezpośrednio w oficjalnym serwisie danej firmy lub instytucji
– zgłaszać podejrzane wiadomości cert.orange.pl

Nadpis SMS (pole, w którym jest widoczny nadawca), nie jest dowodem jego autentyczności.

The post Uważaj na fałszywe smsy z e-T0LL! appeared first on CERT Orange.

W opisywanym przez nas ostrzeżeniu, do potencjalnej ofiary wysyłane są – nie jedna, ale dwie wiadomości mailowe. Pierwsza dotyczy „zmian wynikających z rozliczenia programu zamrożenia cen energii”, druga natomiast „wyjaśnienia oraz korekty naliczenia opłat”. Fakt drugiej wiadomości mailowej, ma na celu uwiarygodnienie całego zamieszania.

Temat wiadomości „Rozliczenie programu zamrożenia cen energii #038028058 !”
„Wydział Rozliczeń Energetycznych Ministerstwa Klimatu i Środowiska przekazuje informację dotyczącą przeprowadzonej weryfikacji rachunków za okres lipiec–grudzień 2025 roku. W wyniku analizy dokumentacji rozliczeniowej stwierdzono konieczność dokonania korekty związanej z aktualizacją ram czasowych taryfy G12.”

Temat wiadomości „Wyjaśnienie i korekta naliczenia opłaty #70261310 !”
„Informujemy o korekcie rozliczenia dotyczącej opłaty za moc bierną za okres sierpień–grudzień 2025. Audyt systemu fakturowania wykazał, że dla części klientów domowych została błędnie naliczona opłata za moc bierną. Zgodnie z obowiązującą taryfą dla gospodarstw domowych, opłata ta powinna dotyczyć wyłącznie odbiorców przemysłowych.”

Obie wiadomości „od PGE” pozwalają ofierze kliknąć w przycisk „Weryfikuj dane ewidencyjne” przekierowujący użytkowników mobilnych na stronę phishingową. Tam proszeni są o podanie swoich danych wraz z danymi karty bankowej, celem rzekomego „zwrotu należności”. Dlaczego strona phishingowa nie wyświetla się użytkownikom komputerów?

Omawialiśmy to już w poprzednich artykułach – użytkownicy mobilni są zwykle dużo bardziej podatni na takie ataki. Pole z adresem strony w przeglądarce na telefonie jest mniejsze oraz szybko znika z ekranu. Ten prosty zabieg utrudnia jego weryfikację. Dodatkowo jest to próba ominięcia systemów wyłapujących tego typu „lewe” strony. Ostatecznie, wprowadzając dane w formularzu, ofiara przesyła je bezpośrednio do przestępców.

The post Phishing na PGE – „zamrożenie cen i korekta naliczenia opłaty” appeared first on CERT Orange.