Wojciech Ciemski, Autor w serwisie Security Bez Tabu - Strona 370 z 487

Autor: Wojciech Ciemski

Ivanti łata „na gorąco” dwa krytyczne zero-daye w EPMM: CVE-2026-1281 i CVE-2026-1340 (RCE bez uwierzytelnienia)

Wprowadzenie do problemu / definicja luki

Pod koniec stycznia 2026 producent Ivanti opublikował pilne poprawki dla dwóch krytycznych podatności typu „code/command injection” w Endpoint Manager Mobile (EPMM). Luki — CVE-2026-1281 i CVE-2026-1340 — pozwalają na zdalne wykonanie kodu (RCE) bez uwierzytelnienia, a według informacji producenta były już wykorzystywane jako zero-day w ograniczonej liczbie incydentów.

W praktyce oznacza to, że publicznie dostępny serwer MDM/UEM może zostać przejęty z internetu jednym żądaniem HTTP, bez konta i bez interakcji użytkownika — a potem stać się punktem wyjścia do dalszej kompromitacji środowiska.

W skrócie

  • Co się stało: wydano awaryjne poprawki dla dwóch krytycznych zero-day w EPMM (pre-auth RCE).
  • Identyfikatory: CVE-2026-1281 i CVE-2026-1340, CVSS 9.8 (wektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
  • Gdzie uderza: wskazywane są funkcje związane z dystrybucją aplikacji „in-house” oraz konfiguracją transferu plików Android.
  • Skala: producent mówi o „bardzo ograniczonej liczbie” ofiar; szczegółowych IoC ma być niewiele/niepewne na moment publikacji.
  • KEV i deadline: CVE-2026-1281 figuruje w KEV z terminem działań do 1 lutego 2026 (sygnał „patch teraz”).
  • Ważne: problem dotyczy on-prem EPMM; nie dotyczy m.in. Ivanti Neurons for MDM (cloud) ani kilku innych produktów producenta.

Kontekst / historia / powiązania

EPMM to system o wysokiej wartości dla atakujących: zarządza flotą urządzeń mobilnych, dystrybuuje aplikacje, przechowuje dane użytkowników/administratorów i stanowi „uprzywilejowany” element infrastruktury. To także produkt, który w ostatnich latach wracał w doniesieniach o aktywnym wykorzystywaniu podatności.

W samym ekosystemie EPMM wcześniej obserwowano exploity m.in. w 2023 r. (CVE-2023-35078) oraz w 2025 r. (łańcuch CVE-2025-4427 i CVE-2025-4428).
Wątek jest istotny operacyjnie: jeśli organizacja już raz musiała „gasić pożar” na EPMM, to tym bardziej warto traktować obecny incydent jako powtarzalny wzorzec ryzyka (internet-facing + wysoki wpływ + szybka monetyzacja).

Analiza techniczna / szczegóły luki

1) Charakter podatności: wstrzyknięcie poleceń prowadzące do RCE

Zarówno CVE-2026-1281, jak i CVE-2026-1340 opisywane są jako podatności typu code injection, które umożliwiają uruchomienie dowolnych poleceń systemu operacyjnego zdalnie i bez uwierzytelnienia.

2) Ścieżki HTTP i powierzchnia ataku

W analizach obronnych przewijają się co najmniej dwa obszary/endpointy związane z funkcjami:

  • „In-House Application Distribution”: ścieżki w rodzaju /mifs/c/appstore/fob/
  • „Android File Transfer Configuration”: ścieżki w rodzaju /mifs/c/aftstore/fob/

To ważne, bo wskazuje na publicznie osiągalne zasoby HTTP, które mogą być skanowane masowo.

3) Co mówi reverse engineering: rola Apache RewriteMap i skryptów bash

Ciekawy technicznie element ujawniła analiza watchTowr Labs: tymczasowe poprawki RPM mają m.in. przebudowywać konfigurację Apache HTTPd i zastępować mechanizm oparty o bashowe mapowania (RewriteMap) wersją opartą o klasy Java. Z perspektywy obrony to mocna poszlaka, że wektor ataku dotykał przekazywania danych kontrolowanych przez atakującego do logiki wykonywanej w powłoce.

4) „Tymczasowe” łatki i re-aplikacja po upgrade

Producent (a za nim część analiz) podkreśla, że dostarczone aktualizacje mają charakter „awaryjny” — i że docelowo pełna poprawka ma być w wersji 12.8.0.0 planowanej na Q1 2026; do tego czasu łatki mogą wymagać ponownego nałożenia po aktualizacji wersji.

5) Wykrywanie śladów: trop w logach HTTP

W materiałach szybkiej reakcji Rapid7 pojawia się praktyczny punkt dla zespołów SOC/IR: regex do przeszukiwania logów demona HTTP pod kątem prób odwołań do ścieżek /mifs i anomalii (np. żądania zakończone 404, ale nie z localhost).

Praktyczne konsekwencje / ryzyko

Kompromitacja serwera EPMM to zwykle nie „tylko RCE”. To przejęcie komponentu, który:

  • ma wgląd w dane administratorów, użytkowników i urządzeń (np. identyfikatory, informacje o urządzeniu, dane użytkowników),
  • może zostać użyty do ruchu lateralnego w sieci (uprzywilejowana pozycja systemu zarządzania),
  • może umożliwiać zmiany konfiguracyjne wpływające na flotę urządzeń (np. dystrybucja aplikacji / modyfikacja ustawień).

Dodatkowo CVE-2026-1281 trafił do KEV z krótkim terminem reakcji (do 1 lutego 2026), co w praktyce jest sygnałem: ryzyko jest „tu i teraz”, a nie teoretyczne.

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań w kolejności „najpierw odetnij ryzyko, potem sprzątaj”.

1) Zidentyfikuj ekspozycję

  • Ustal, czy EPMM jest wystawiony do internetu (VIP/LB/NAT/WAF), a jeśli tak — czy nie da się go ograniczyć (VPN, allowlist).
  • Zweryfikuj wersję EPMM i to, czy mieścisz się w zakresie wersji uznanych za podatne. (NVD pokazuje konfiguracje do 12.7.0.0 oraz osobne linie 12.5.1.0/12.6.1.0 itd.).

2) Zastosuj poprawki awaryjne

  • Wdróż poprawki dostarczone przez producenta „out-of-band”, poza normalnym cyklem patchowania (to nie jest „poczeka do wtorku”).
  • Zaplanuj, że po upgrade wersji możesz potrzebować ponownego nałożenia mechanizmu naprawczego — to istotne w oknach serwisowych.

3) Threat hunting i szybka triage

  • Przeszukaj logi HTTP pod kątem dostępu do ścieżek /mifs/c/appstore/fob/ i /mifs/c/aftstore/fob/, zwłaszcza nietypowych żądań oraz wzorców sugerujących próby egzekucji poleceń.
  • Jeżeli masz EDR na hoście/appliance (lub telemetry syslog): poluj na procesy powłoki/uruchomienia poleceń korelujące czasowo z ruchem do tych endpointów.

4) Zakładaj „post-exploitation”

Skoro to pre-auth RCE, traktuj środowisko jak potencjalnie naruszone:

  • rotuj hasła/tokeny/sekrety, które mogły być dostępne z poziomu EPMM,
  • sprawdź listę kont administratorów i zmiany polityk/konfiguracji,
  • przeglądnij integracje (np. katalog/SSO) pod kątem nieautoryzowanych modyfikacji.

5) Plan średnioterminowy

  • Przygotuj się na docelowy upgrade do 12.8.0.0 (Q1 2026) — to ma być „trwała” poprawka.
  • Oceń, czy architektura nadal spełnia „minimal exposure”: system MDM/UEM nie powinien być łatwym celem z internetu.

Różnice / porównania z innymi przypadkami

2023 i 2025 pokazały, że EPMM bywa celem aktywnych kampanii, a ataki na warstwę zarządzania urządzeniami są atrakcyjne (jedno przejęcie → duży wpływ).
Nowy element w 2026 r. to wyraźnie „czerwony alarm” związany z:

  • bardzo wysoką oceną (CVSS 9.8),
  • charakterem pre-auth RCE,
  • obecnością CVE-2026-1281 w KEV z krótkim terminem wymuszenia działań.

Podsumowanie / kluczowe wnioski

  • CVE-2026-1281 i CVE-2026-1340 to krytyczne podatności EPMM umożliwiające RCE bez logowania.
  • Producent potwierdza wykorzystanie zero-day (choć w „bardzo ograniczonej” skali), a ryzyko eskaluje przez to, że EPMM bywa systemem publicznie osiągalnym.
  • Jeśli masz EPMM on-prem — to jest sytuacja typu „patch natychmiast + hunting + założenie możliwej kompromitacji”. KEV dla CVE-2026-1281 tylko to wzmacnia.
  • Technicznie warto skupić uwagę na ruchu do endpointów /mifs/ oraz na korelacji z procesami powłoki/wykonywania poleceń.

Źródła / bibliografia

  1. SecurityWeek — opis podatności, zakres wersji i kontekst eksploatacji. (SecurityWeek)
  2. Blog Ivanti: „January 2026 EPMM Security Update” — stanowisko producenta i zakres produktów (on-prem vs cloud). (ivanti.com)
  3. National Vulnerability Database (NVD) — metryki CVSS, KEV i terminy dla CVE-2026-1281. (NVD)
  4. Rapid7 ETR — endpointy /mifs, wskazówki huntingowe i kontekst wcześniejszych exploitów. (Rapid7)
  5. watchTowr Labs — reverse engineering podejścia „RPM patch” i obserwacje dot. mechanizmu (RewriteMap/bash → Java). (watchTowr Labs)

Biały Dom wycofuje „uciążliwe” zasady bezpieczeństwa oprogramowania: co oznacza memorandum OMB M-26-05 dla łańcucha dostaw IT

Wprowadzenie do problemu / definicja „luki” w polityce

Zmiana ogłoszona przez Office of Management and Budget (OMB) dotyczy nie klasycznej podatności technicznej, lecz „luki” na poziomie governance: sposobu, w jaki administracja federalna narzuca (lub nie narzuca) minimalne wymagania bezpieczeństwa dostawcom oprogramowania.

W styczniu 2026 r. OMB opublikowało memorandum M-26-05, które formalnie unieważnia wcześniejsze wytyczne z czasów administracji Joe Biden: M-22-18 oraz jego aktualizację M-23-16. Uzasadnienie: poprzednie wymagania miały być „nieudowodnione i uciążliwe” oraz skupione na biurokratycznej zgodności zamiast realnych inwestycji w bezpieczeństwo.

W skrócie

  • Co wycofano? Dwa kluczowe dokumenty polityki: M-22-18 i M-23-16 zostały „rescinded” (uchylone).
  • Co wchodzi w zamian? Podejście risk-based: większa odpowiedzialność po stronie kierownictwa każdej agencji za dobór metod weryfikacji bezpieczeństwa software i hardware w zależności od misji i profilu ryzyka.
  • Czy SBOM i atestacje znikają całkowicie? Nie. OMB wskazuje, że agencje mogą nadal korzystać z zasobów wypracowanych wcześniej (np. formularza atestacji praktyk wytwarzania) oraz mogą wpisywać do umów obowiązek dostarczenia SBOM „na żądanie”.
  • Nowy akcent: silniejsze uwzględnienie ryzyk sprzętowych (hardware supply chain) i odniesienia do HBOM.

Kontekst / historia / powiązania

M-23-16 (2023) było aktualizacją M-22-18 i wynikało z kierunku wyznaczonego przez Executive Order 14028 (poprawa cyberbezpieczeństwa państwa i bezpieczeństwa łańcucha dostaw). W praktyce te dokumenty miały doprowadzić do tego, aby agencje federalne używały wyłącznie takiego oprogramowania, którego producenci są w stanie poświadczyć spełnianie minimalnych praktyk bezpiecznego wytwarzania.

Mechanika wdrożenia była mocno „procesowa”: terminy, zakres oprogramowania, a także wspólny formularz (common form) przygotowywany z udziałem Cybersecurity and Infrastructure Security Agency (CISA). M-23-16 precyzowało m.in. harmonogram zbierania atestacji w zależności od zatwierdzenia formularza w reżimie Paperwork Reduction Act (PRA).

W 2026 r. OMB przechodzi na narrację: „mniej uniwersalnej checklisty, więcej dopasowania do ryzyka”, podkreślając, że nie ma jednego, „one-size-fits-all” modelu zapewnienia bezpieczeństwa dla wszystkich agencji.

Analiza techniczna / szczegóły zmiany

1. Co wymuszały M-22-18 / M-23-16 (w praktyce)

Z punktu widzenia inżynierii bezpieczeństwa i zakupów IT, sednem była atestacja praktyk SDLC przez producenta oprogramowania. M-23-16 opisywało, że agencje mają zbierać atestacje od producentów (w tym dla „critical software”) w określonych terminach po zatwierdzeniu wspólnego formularza.

Istotne było też doprecyzowanie, że odpowiedzialność za zgodność praktyk rozciąga się na sposób zarządzania komponentami third-party (w tym open source) na poziomie producenta produktu końcowego – a nie na poziomie każdej agencji.

2. Co mówi M-26-05: „risk-based” zamiast „universal compliance”

Nowe memorandum M-26-05:

  • stwierdza, że wcześniejsze wymagania narzucały „burdensome software accounting processes” i odciągały agencje od tworzenia dopasowanych wymagań assurance,
  • unieważnia M-22-18 i M-23-16,
  • utrzymuje oczekiwanie posiadania kompletnego inwentarza software i hardware, ale przenosi ciężar doboru mechanizmów weryfikacji na agencje.

3. Co zostaje jako narzędzia opcjonalne: atestacja, SBOM, HBOM

M-26-05 wprost wskazuje, że agencje:

  • mogą nadal używać zasobów „government-wide secure software development resources” (w tym formularza atestacji praktyk bezpiecznego wytwarzania),
  • mogą wprowadzać do kontraktów zapis o dostarczeniu SBOM na żądanie (w tym szczególna uwaga dla środowisk chmurowych – SBOM środowiska runtime/production),
  • mają też brać pod uwagę ryzyka sprzętowe oraz odwołania do HBOM.

4. Gdzie w tym wszystkim jest SSDF (NIST SP 800-218)

Nawet jeśli obowiązek „federalnej checklisty” zostaje cofnięty, sam rdzeń dobrych praktyk bezpiecznego wytwarzania nie znika. National Institute of Standards and Technology (NIST) opisuje SSDF jako zestaw fundamentalnych praktyk bezpiecznego wytwarzania, zorganizowany w cztery grupy (przygotowanie organizacji, ochrona software, wytwarzanie bezpiecznego software, reakcja na podatności). SSDF ma być „wspólnym językiem” dla producentów i nabywców, a nie wyłącznie checklistą do odhaczania.

W praktyce oznacza to, że SSDF nadal jest sensowną bazą do programów assurance — tylko presja regulacyjna może się przenieść z „musisz użyć dokładnie tego formularza” na „udowodnij adekwatność kontroli do ryzyka”.

Praktyczne konsekwencje / ryzyko

Dla agencji federalnych

  • Większa swoboda, ale i większa odpowiedzialność: skoro nie ma jednego schematu, rośnie ryzyko nierównego poziomu wymagań między agencjami (fragmentacja) i trudniejszego porównywania dostawców.
  • Ryzyko „wyścigu do dna” w zakupach: jeśli część jednostek potraktuje zmianę jako okazję do obniżenia wymagań, ucierpieć może spójność ochrony łańcucha dostaw. (To wniosek analityczny na podstawie kierunku polityki „opcjonalności” narzędzi).

Dla dostawców oprogramowania (software producers)

  • Mniej jednolitego compliance, więcej odpowiedzi na RFP-y „szyte na miarę”: zamiast jednego pakietu atestacji dla całego rządu, mogą pojawić się różne zestawy wymagań assurance zależnie od agencji.
  • SBOM „na żądanie” dalej ma znaczenie: to nie jest sygnał „SBOM niepotrzebny”, tylko „SBOM jako narzędzie kontraktowe i operacyjne, niekoniecznie jako twardy wymóg wszędzie”.

Dla bezpieczeństwa ekosystemu (systemowo)

  • Plus: lepsze dopasowanie kontroli do realnego ryzyka (szczególnie dla systemów o specyficznej misji i ograniczeniach).
  • Minus: utrata efektu skali i standaryzacji, który bywa kluczowy w łańcuchu dostaw (wspólny język wymagań, wspólny formularz, łatwiejszy due diligence).

Rekomendacje operacyjne / co zrobić teraz

Jeśli jesteś dostawcą (vendor / producent oprogramowania)

  1. Utrzymaj SSDF jako kręgosłup programu secure SDLC – nawet jeśli formularz atestacji nie jest już „must-have” wszędzie, SSDF pozostaje najlepszą bazą do rozmowy z nabywcą o kontrolach i dojrzałości.
  2. Przygotuj „pakiet dowodowy” (assurance evidence pack):
    • mapowanie praktyk SDLC do SSDF,
    • opis środowiska build i mechanizmów integralności,
    • procesy VDP/PSIRT, SLA na poprawki, polityka podpisywania artefaktów.
  3. SBOM/HBOM jako produkt uboczny procesu, nie „excel na koniec”: skoro SBOM może być wymagany „upon request”, warto mieć pipeline do generowania i aktualizacji (dla chmury także dla runtime).

Jeśli jesteś po stronie kupującego / security w organizacji publicznej

  1. Zdefiniuj minimalny baseline (nawet jeśli prawo nie narzuca jednego): bez niego risk-based łatwo przeradza się w ad-hoc. OMB podkreśla potrzebę inwentarza i dopasowania assurance do ryzyka – zacznij od klasyfikacji systemów i danych.
  2. Zbuduj wymagania kontraktowe warstwowo:
    • baseline (SSDF-ish),
    • rozszerzenia dla systemów krytycznych,
    • wymagania SBOM na żądanie + format + częstotliwość aktualizacji.
  3. Nie pomijaj hardware: M-26-05 wyraźnie rozszerza akcent na ryzyka sprzętowe – uwzględnij je w ocenie dostawców, logistyce, cyklu życia urządzeń i w monitoringu.

Różnice / porównania z innymi przypadkami

„Compliance-first” (M-22-18/M-23-16) vs „Risk-based” (M-26-05)

  • Compliance-first: jednolita forma atestacji i harmonogramy → łatwiejsza standaryzacja i porównywanie dostawców, ale ryzyko przerostu papierologii.
  • Risk-based: większa elastyczność i dopasowanie do misji → potencjalnie bardziej „inżynierskie” security, ale wyższe ryzyko niespójności wymagań i różnego poziomu dojrzałości w agencjach.

W praktyce dojrzałe organizacje kończą zwykle na modelu hybrydowym: baseline (SSDF) + risk-based rozszerzenia.

Podsumowanie / kluczowe wnioski

Memorandum M-26-05 to istotny zwrot w federalnym podejściu do bezpieczeństwa łańcucha dostaw: od centralnie standaryzowanych atestacji i terminów ku modelowi, w którym każda agencja ma sama dobrać mechanizmy assurance dla oprogramowania i sprzętu.

Najważniejsze: wycofanie wymogów nie oznacza, że SSDF, SBOM czy atestacje „przestają istnieć” — stają się narzędziami opcjonalnymi i kontraktowymi. Dla dostawców to sygnał, by budować dowody dojrzałości secure SDLC (SSDF), a dla kupujących — by nie gubić standaryzacji i utrzymać minimalny baseline w modelu risk-based.

Źródła / bibliografia

  1. SecurityWeek — artykuł: „White House Scraps ‘Burdensome’ Software Security Rules” (30 stycznia 2026). (SecurityWeek)
  2. Office of Management and Budget (OMB) — Memorandum M-26-05 „Adopting a Risk-based Approach to Software and Hardware Security” (23 stycznia 2026).
  3. OMB — Memorandum M-23-16 „Update to Memorandum M-22-18…” (9 czerwca 2023).
  4. National Institute of Standards and Technology (NIST) — strona projektu SSDF (SP 800-218) i opis struktury praktyk. (csrc.nist.gov)
  5. Federal Register — ogłoszenie dot. konsultacji publicznych nt. „2025 Minimum Elements for a Software Bill of Materials (SBOM)” (kontekst SBOM). (Federal Register)

Polska wskazuje Static Tundra jako sprawcę destrukcyjnych ataków na energetykę z 29 grudnia 2025 – co wiemy o DynoWiper, FortiGate i wektorach OT/IT

Wprowadzenie do problemu / definicja luki

29 grudnia 2025 r. w Polsce odnotowano skoordynowaną serię ataków o czysto destrukcyjnym celu (w raporcie porównywaną do „cyfrowego podpalenia”). Kampania objęła ponad 30 farm wiatrowych i fotowoltaicznych, firmę z sektora produkcyjnego oraz dużą elektrociepłownię (CHP) dostarczającą ciepło dla ok. pół miliona odbiorców. Kluczowe jest to, że incydent dotknął jednocześnie środowisk IT i OT, co nadal jest rzadkością w publicznie opisywanych zdarzeniach.

Wąskim gardłem nie była „jedna magiczna luka CVE”, tylko kombinacja: ekspozycja zdalnego dostępu, słabe uwierzytelnianie (w tym brak MFA), odziedziczone konfiguracje i praktyki (np. powtarzanie kont/ haseł między lokalizacjami), a następnie konsekwentna automatyzacja działań destrukcyjnych w sieciach stacyjnych/zakładowych.

W skrócie

  • Ataki z 29.12.2025 były skoordynowane i nastawione na sabotaż (niszczenie danych/urządzeń), a nie ransomware.
  • Wektor na obiektach OZE: urządzenia FortiGate jako VPN/firewall z wystawionym interfejsem VPN do Internetu, bez MFA; dodatkowo pojawia się wątek reuse’owania poświadczeń między obiektami.
  • W OT obserwowano m.in. działania na RTU/HMI: użycie domyślnych danych logowania (np. na kontrolerach) i próby uszkadzania/wymazywania systemów oraz elementów sterowania.
  • CERT Polska przypisał aktywność klastrowi Static Tundra (powiązywanemu z FSB / Center 16), podczas gdy część analiz zewnętrznych (m.in. ESET) wskazuje na możliwe związki z Sandworm.
  • Rząd podkreśla, że Polska obroniła się przed skutkami typu blackout, ale incydent potraktowano jako sygnał do dalszego wzmacniania systemu.

Kontekst / historia / powiązania

W ostatnich latach granica między „APT do szpiegostwa” a „APT do sabotażu” coraz częściej się zaciera. W tym incydencie istotne są dwa równoległe wątki:

  1. Atrybucja państwowa: według informacji opisywanych publicznie, strona polska wskazuje na rosyjską służbę (FSB) jako prawdopodobnego sprawcę, a sam incydent miał miejsce w okresie niskich temperatur i śnieżyc, co zwiększało potencjalną presję operacyjną na energetykę i ciepłownictwo.
  2. Spór o „kto dokładnie”: CERT przypisuje kampanię klastrowi Static Tundra, natomiast część badaczy zwraca uwagę na podobieństwa wipera DynoWiper do wcześniejszych narzędzi kojarzonych z Sandworm (w tym do wipera nazwanego przez ESET „ZOV”). To klasyczny przypadek, gdzie malware similarity ≠ jednoznaczna atrybucja, bo narzędzia i techniki mogą być współdzielone, odsprzedawane lub kopiowane.

Analiza techniczna / szczegóły luki

1) OZE i punkt przyłączenia (GCP): FortiGate jako brama wejścia

Raport wskazuje, że w badanych obiektach OZE urządzenia typu FortiGate pełniły rolę koncentratora VPN i firewalla. W każdym przypadku interfejs VPN był wystawiony do Internetu i dopuszczał uwierzytelnianie kontami z konfiguracji bez MFA. Ze względu na destrukcję, nie zawsze udało się odzyskać komplet logów, ale z analizy wynika, że część urządzeń bywała w przeszłości podatna (w tym na klasy błędów umożliwiających RCE) przez dłuższe okresy.

Dodatkowo pojawia się ważna obserwacja operacyjna: w branży ma być powszechne powtarzanie kont i haseł między wieloma lokalizacjami. To oznacza, że kompromitacja jednego obiektu może stać się „kluczem głównym” do kolejnych.

2) OT: RTU, przekaźniki zabezpieczeniowe, HMI – sabotaż zamiast tylko IT

W części środowisk sterowania obserwowano działania, które nie polegały wyłącznie na niszczeniu plików na stacjach roboczych, ale również na destabilizacji komponentów OT (np. poprzez logowanie z domyślnymi poświadczeniami i wykonywanie komend destrukcyjnych na kontrolerach). To szczególnie niebezpieczne, bo „wymazanie” lub uszkodzenie urządzeń OT może wymagać interwencji terenowej i wydłużać czas odtworzenia usług.

3) Wipery i dystrybucja: DynoWiper i LazyWiper oraz GPO/PowerShell

CERT opisuje użycie wcześniej niekojarzonych rodzin wiperów, których celem było nieodwracalne niszczenie danych, bez elementu wymuszenia okupu. W raporcie rozróżniono scenariusze uruchomienia: w środowiskach OZE malware miał być odpalany bezpośrednio na maszynie HMI, a w elektrociepłowni i firmie produkcyjnej dystrybucja odbywała się w domenie Active Directory przez skrypt PowerShell uruchomiony na kontrolerze domeny (model „szybkiego rażenia” wielu hostów).

4) Firma produkcyjna: kompromitacja urządzenia brzegowego i persistence

W przypadku firmy produkcyjnej opisano dostęp przez urządzenie brzegowe Fortinet, a także modyfikacje konfiguracji, które miały zapewnić trwałość dostępu nawet po zmianach haseł (m.in. poprzez mechanizmy skryptowe na urządzeniu).

5) Atrybucja techniczna: „Static Tundra” i zastrzeżenia dot. podobieństw do Sandworm

CERT wskazuje, że infrastruktura i charakterystyki komunikacji pokrywają się z tym, co publicznie opisywano dla klastra „Static Tundra”, a jednocześnie zaznacza, że podobieństwa DynoWiper do wiperów wiązanych z Sandworm są zbyt ogólne, by same w sobie przesądzały o sprawstwie.
Z kolei ESET opisuje podobieństwa DynoWiper do ich wcześniejszych obserwacji destrukcyjnego malware przypisywanego Sandworm (ZOV), przy jednoczesnym zastrzeżeniu, że nie wszystkie elementy operacji muszą pochodzić od jednej grupy.

Praktyczne konsekwencje / ryzyko

  1. Ryzyko kaskadowe w OZE: nawet jeśli pojedyncza farma nie destabilizuje systemu, równoległe uderzenie w dziesiątki obiektów zwiększa obciążenie operatorów, czas reakcji i ryzyko błędów proceduralnych.
  2. Czas odtworzenia w OT: urządzenia sterujące, RTU czy elementy telemechaniki mogą wymagać fizycznej wymiany/ponownego wgrania firmware’u i walidacji – a to oznacza realny koszt i przestoje.
  3. Eskalacja intencji: publicznie podkreślano, że to incydent „sabotażowy” i jeden z poważniejszych tego typu w ostatnich latach. Taki sygnał zmienia model zagrożeń dla firm, które dotychczas projektowały ochronę głównie pod wyciek danych lub phishing.

Rekomendacje operacyjne / co zrobić teraz

Poniżej „checklista” w kolejności od działań o najwyższym ROI do bardziej złożonych:

1) Zdalny dostęp (VPN/edge) – natychmiastowe „higieniczne minimum”

  • Włącz MFA wszędzie, gdzie jest zdalny dostęp administracyjny lub operatorski (VPN, portale, jump-hosty). Brak MFA pojawia się wprost jako element ryzyka.
  • Wymuś unikalne konta i hasła per obiekt (koniec z re-use między farmami/lokalizacjami).
  • Audyt urządzeń brzegowych: aktualizacje, przegląd ekspozycji usług, usunięcie „starych” reguł i kont technicznych.

2) Segmentacja IT/OT i kontrola ścieżek lateral movement

  • Odseparuj domenę/AD od stref OT (lub przynajmniej twardo kontroluj relacje zaufania, konta serwisowe i ścieżki RDP/SMB).
  • W OT: dopuszczaj tylko niezbędne protokoły i kierunki komunikacji; rozważ jump-serwery z silnym uwierzytelnianiem i pełnym logowaniem.

3) Eliminacja domyślnych poświadczeń i twardnienie urządzeń OT

  • Usuń domyślne hasła/konta na RTU/HMI i urządzeniach pośredniczących (to w raporcie pojawia się jako realny wektor destrukcji).
  • Włącz i egzekwuj mechanizmy weryfikacji firmware (tam, gdzie dostępne) oraz kontroluj proces aktualizacji i źródła obrazów.

4) Odporność na wipery

  • Kopie zapasowe offline/immutable + testy odtworzenia (nie „mamy backup”, tylko RTO/RPO na stole).
  • EDR/monitoring na kontrolerach domeny i serwerach zarządzających: wykrywanie nietypowych działań PowerShell/GPO, masowych modyfikacji polityk, nietypowych zadań harmonogramu itp. (w raporcie opisano dystrybucję przez skrypt i domenę).

5) Przygotowanie organizacyjne

  • Scenariusze IR dla sabotażu (wiper/OT): procedury izolacji, odcięcia zdalnego dostępu, przełączeń ręcznych, kontaktów vendor/PSIRT.
  • W sektorze energii: ćwiczenia „table-top” łączące zespoły SOC + automatycy + utrzymanie ruchu.

Różnice / porównania z innymi przypadkami

Static Tundra (FSB) vs Sandworm (GRU) w tym incydencie sprowadza się do pytania: czy obserwujemy „nową fazę” tej samej grupy, współdzielenie narzędzi, czy operację mieszaną?

  • CERT argumentuje atrybucję do klastra Static Tundra m.in. na podstawie infrastruktury i jej charakterystyk, jednocześnie traktując podobieństwa DynoWiper do narzędzi sandwormowych jako niewystarczające do twardej identyfikacji.
  • ESET widzi techniczne podobieństwa DynoWiper do ZOV i łączy je z Sandworm, ale też dopuszcza, że elementy operacji mogły być rozdzielone między różne podmioty.
  • Publiczne doniesienia podkreślają, że polskie władze wskazały na FSB jako prawdopodobnego sprawcę, a sama operacja była postrzegana jako eskalacja w stronę działań destrukcyjnych.

W praktyce dla obrońców wniosek jest prosty: modeluj zagrożenie po TTP, nie po etykiecie grupy. Jeśli masz ekspozycję VPN bez MFA, re-use poświadczeń i słabą separację IT/OT – „kto” jest drugorzędne wobec „jak szybko może to powtórzyć ktoś inny”.

Podsumowanie / kluczowe wnioski

  • To był incydent, w którym sabotaż cyfrowy dotknął jednocześnie IT i OT, a celem było niszczenie, nie zysk.
  • Najbardziej „przyziemne” problemy (MFA, unikalne hasła, ekspozycja VPN, domyślne konta) okazały się krytyczne w skali krajowej.
  • Atrybucja (Static Tundra vs Sandworm) jest ważna politycznie, ale operacyjnie kluczowe są powtarzalne techniki: kompromitacja edge, ruch boczny, a potem szybka destrukcja (w tym przez mechanizmy domenowe).
  • Nawet gdy nie doszło do blackoutu, incydent pokazuje, że odporność musi obejmować wipery + OT recovery, a nie tylko ochronę przed wyciekiem danych.

Źródła / bibliografia

  1. Raport techniczny CERT: „Energy Sector Incident Report – 29 December 2025”. (cert.pl)
  2. Artykuł: The Hacker News – podsumowanie i kontekst (DynoWiper/LazyWiper, wątki FortiGate, przypisanie do Static Tundra). (The Hacker News)
  3. Analiza: ESET – „DynoWiper update: Technical analysis and attribution”. (welivesecurity.com)
  4. Komunikat rządowy: Gov.pl – o odparciu ataku i działaniach wzmacniających. (Gov.pl)
  5. Depesza: Reuters – wątek przypisania i komentarze ekspertów. (Reuters)

Cyberatak na rosyjską piekarnię: sparaliżowane IT i zakłócone dostawy chleba w obwodzie włodzimierskim

Wprowadzenie do problemu / definicja luki

Cyberataki na firmy produkcyjne nie muszą uderzać w linie technologiczne (OT), żeby wywołać realne braki w dostawach. Wystarczy skutecznie „wyłączyć” warstwę biurowo-biznesową (IT): serwery, stacje robocze, obieg dokumentów, system ERP/księgowość – i nagle zamówienia nie przechodzą, WZ-tki nie powstają, a logistyka przestaje działać w rytmie just-in-time.

Taki scenariusz zmaterializował się w obwodzie włodzimierskim w Rosji: cyberatak na duży zakład piekarniczy doprowadził do zakłóceń dostaw i problemów z realizacją kontraktów, mimo że samo pieczenie chleba miało trwać bez przerwy.

W skrócie

  • Zaatakowana została infrastruktura cyfrowa zakładu (komputery biurowe, serwery, e-dokumenty oraz system 1C).
  • Produkcja miała pozostać w trybie normalnym, ale ucierpiały procesy zamówień i dostaw.
  • Firma przeszła na ręczne przetwarzanie zamówień i całodobowy tryb pracy biura, żeby utrzymać wysyłki.
  • Nie podano czasu pełnego odtworzenia systemów; przekazano przeprosiny partnerom i klientom.
  • Zgodnie z relacjami: były chwilowe braki części asortymentu tej firmy, ale duże sieci handlowe nie raportowały powszechnego niedoboru pieczywa na półkach.

Kontekst / historia / powiązania

To kolejny przykład, że sektor żywnościowy jest podatny na incydenty „nie dlatego, że produkuje żywność”, tylko dlatego, że jest silnie zależny od ciągłości procesów cyfrowych: EDI, ERP, magazynu, planowania produkcji, trasowania dostaw, rozliczeń i zgodności formalnej.

W samym opisie incydentu podkreślono, że to nie pierwszy przypadek problemów w rosyjskim sektorze spożywczym wywołanych cyberatakami – wcześniej uderzenia w systemy i podmioty okołologistyczne również powodowały zakłócenia łańcucha dostaw.
Z kolei raporty o incydentach w przemyśle (w tym w branży spożywczej) pokazują powtarzalny wzorzec: ransomware i ataki zakłócające dostępność IT często prowadzą do przestojów w logistyce lub ograniczeń operacji – nawet gdy OT nie zostaje naruszone.

Analiza techniczna / szczegóły incydentu

Co wiemy na pewno (na podstawie komunikatów/relacji)

  • Uszkodzona lub niedostępna była „cyfrowa infrastruktura” biura: komputery, serwery, usługi e-dokumentów oraz 1C (popularny w regionie ekosystem ERP/księgowo-magazynowy).
  • Zakład przeszedł na tryb manualny (papier/telefon), a personel biurowy pracował całodobowo, by obsłużyć zamówienia i wysyłki mimo blokady elektronicznego obiegu dokumentów.

Co to oznacza operacyjnie (najczęstsze punkty krytyczne)

Wyłączenie 1C i e-obiegu dokumentów uderza w elementy, które zwykle są „klejem” między produkcją a dystrybucją:

  • przyjmowanie i potwierdzanie zamówień (limity, ceny, terminy),
  • kompletacja i wysyłka (dokumenty WZ/faktury, awizacje),
  • rozliczenia z sieciami i instytucjami (umowy, EDI, raportowanie),
  • ciągłość planowania (stany magazynowe, prognozy, harmonogramy).

W praktyce takie zdarzenie powoduje, że firma może produkować, ale nie jest w stanie równie szybko sprzedać i dostarczyć.

Czego nie wiemy (i czego nie należy dopowiadać)

W publicznych relacjach nie wskazano sprawców ani techniki (ransomware vs. destrukcja vs. sabotaż/DoS), a także nie opisano wektora wejścia.
Dlatego wszelkie przypisywanie kampanii, grup czy motywacji byłoby spekulacją.

Praktyczne konsekwencje / ryzyko

Najważniejszy wniosek z tego typu incydentów: ryzyko dla biznesu nie wymaga „zhakowania maszyn”.

Skutki, które już pojawiły się w relacjach:

  • zakłócenia realizacji kontraktów i dostaw (w tym dla instytucji społecznych),
  • chwilowe braki określonych pozycji asortymentowych w sklepach, przy braku szerokiego niedoboru pieczywa dzięki innym dostawcom,
  • kosztowny tryb awaryjny: praca 24/7 biura i ręczne procesowanie zamówień.

Ryzyka, które zwykle „idą za tym” (nawet jeśli nie zostały potwierdzone w tym przypadku):

  • opóźnienia i kary umowne (SLA),
  • błędy w kompletacji/rozliczeniach przy pracy ręcznej,
  • eskalacja do wycieku danych (jeśli incydent miał komponent eksfiltracji),
  • dług technologiczny po odtwarzaniu (tymczasowe obejścia, słabsze kontrole).

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań, które mają największy sens „tu i teraz” dla firm produkcyjnych (zwłaszcza FMCG/food), gdzie ERP/EDI jest krytyczny:

  1. Rozdziel IT od OT i ogranicz zaufanie między strefami
    Segmentacja sieci, oddzielne domeny/tożsamości, kontrola ruchu (allow-list), aby incydent biurowy nie „przechodził” na produkcję.
  2. Zabezpiecz systemy klasy ERP/księgowość (np. 1C) jako Tier-0 dla biznesu
    • MFA wszędzie, gdzie możliwe (VPN/RDP/panele administracyjne).
    • Zasada najmniejszych uprawnień (role zamiast kont współdzielonych).
    • Monitoring kont uprzywilejowanych i zmian w konfiguracji.
  3. Przećwicz tryb manualny – ale go „uszczelnij”
    Skoro w realnym incydencie wraca papier/telefon, warto mieć:
    • gotowe szablony dokumentów,
    • procedury weryfikacji (4-oczy) dla wysyłek i fakturowania,
    • offline listy kontaktów i priorytetów klientów.
  4. Odporność na ransomware: kopie, których nie da się zaszyfrować jednym ruchem
    • 3-2-1 + kopie offline/immutability,
    • regularne testy odtworzeń (nie tylko „backup exists”).
  5. Widoczność i szybka reakcja
    • EDR na stacjach/serwerach, centralne logowanie (SIEM),
    • playbooki IR: izolacja segmentu, zatrzymanie rozprzestrzeniania, komunikacja kryzysowa, współpraca z organami ścigania.

Różnice / porównania z innymi przypadkami

W omawianym incydencie komunikacja sugeruje model „IT down, OT ok”: produkcja działa, ale administracja i logistyka cierpią.

To pokrywa się z obserwowanym w wielu zdarzeniach przemysłowych wzorcem, w którym atak na dostępność systemów IT (często ransomware) powoduje zatrzymanie lub poważne ograniczenie procesów biznesowych, nawet jeśli fizyczne linie produkcyjne nie zostały naruszone. W raportach branżowych opisywane są m.in. przypadki czasowego paraliżu operacji i pracy „dookoła systemów” w trybie 24/7, aż do przywrócenia usług.

Podsumowanie / kluczowe wnioski

  • W produkcji żywności ciągłość dostaw zależy dziś równie mocno od IT, co od pieców i linii technologicznych.
  • Wyłączenie narzędzi biurowych, e-dokumentów i ERP/1C potrafi wywołać braki w dostawach bez zatrzymania produkcji.
  • Najbardziej opłaca się inwestować w: segmentację, odporność na ransomware (backup/odtwarzanie), kontrolę dostępu (MFA/PAM) oraz ćwiczone procedury trybu awaryjnego.

Źródła / bibliografia

  1. The Record (Recorded Future News) – opis incydentu i skutków dla dostaw. (The Record from Recorded Future)
  2. Zebra TV – cytowany komunikat/stanowisko zakładu, zakres niedostępnych systemów i informacja o braku wpływu na produkcję. (Зебра ТВ)
  3. Gazeta.ru – potwierdzenie osi czasu (noc 25/26 stycznia) oraz relacje o problemach z dostawami. (Газета.Ru)
  4. Roshleb (branżowy serwis) – informacja o zgłoszeniu do organów i braku terminu pełnego odtworzenia. (roshleb.com)
  5. Kaspersky ICS CERT – przegląd incydentów w cyberbezpieczeństwie przemysłowym (w tym przypadki ransomware i zakłóceń operacji w sektorach produkcyjnych). (ics-cert.kaspersky.com)

Microsoft Teams doda „Report a Call”: zgłaszanie podejrzanych połączeń jako nowy sygnał dla SOC

Wprowadzenie do problemu / definicja „luki”

Ataki socjotechniczne coraz częściej omijają klasyczne filtry antyphishingowe, przenosząc ciężar z e-maila do kanałów współpracy: czatów, spotkań i… połączeń VoIP. Rozmowa „rzekomo z IT”, „z banku” czy „z dostawcy” bywa trudniejsza do zweryfikowania niż wiadomość z linkiem – zwłaszcza gdy presja czasu i autorytet rozmówcy robią swoje.

Microsoft odpowiada na ten trend, dodając do Teams mechanizm umożliwiający użytkownikom zgłoszenie podejrzanego połączenia wprost z historii rozmów.

W skrócie

  • Teams dostanie funkcję „Report a Call”, pozwalającą oznaczać połączenia jako podejrzane / niechciane (scam, phishing).
  • Opcja ma być dostępna w historii połączeń dla rozmów 1:1 na Windows, macOS i w wersji web.
  • Raportowanie będzie włączone domyślnie, a administratorzy będą mogli je wyłączyć w Teams Admin Center → Calling settings.
  • Zgłoszenie udostępni ograniczone metadane (m.in. czas, długość, caller ID, identyfikatory uczestników) organizacji oraz Microsoftowi; dane mają być widoczne w Microsoft Defender portal lub w Teams Admin Center.
  • Harmonogram wg opisu wdrożenia: Targeted Release w połowie marca 2026, zakończenie w końcówce marca, GA globalnie do końca kwietnia 2026.

Kontekst / historia / powiązania

Nowa opcja raportowania wpisuje się w szerszy pakiet zabezpieczeń „na warstwie współpracy”. Microsoft równolegle rozwija mechanizmy ostrzegania o podejrzanych połączeniach od nieznanych, zewnętrznych kontaktów (scenariusze podszywania się pod markę / instytucję). Przykładem jest „Brand Impersonation Protection”, które ma wykrywać próby podszycia przy pierwszym kontakcie i ostrzegać użytkownika o ryzyku.

W praktyce to logiczna ewolucja: skoro Teams stał się „nową skrzynką odbiorczą” dla wielu firm, to telemetryka i procesy reagowania muszą objąć nie tylko czat, ale też kanał głosowy.

Analiza techniczna / szczegóły funkcji

Gdzie użytkownik zobaczy opcję?

„Report a Call” ma pojawić się w historii połączeń dla rozmów jeden na jeden. Użytkownik wybierze zgłoszenie z menu More options przy danym połączeniu.

Jakie dane trafiają do organizacji i Microsoftu?

Zgłoszenia mają przekazywać ograniczone metadane, m.in.:

  • znaczniki czasu,
  • czas trwania połączenia,
  • informacje caller ID,
  • identyfikatory Teams uczestników.

To ważne: mowa o metadanych „pod triage”, a nie o deklaracji, że treść rozmów jest automatycznie przechwytywana. Dla SOC oznacza to dodatkowy sygnał korelacyjny (kto dzwonił, kiedy, jak często, do ilu osób).

Gdzie analitycy to zobaczą?

  • Organizacje z licencjami Defender for Office 365 Plan 1/Plan 2 lub Defender XDR mają otrzymać bardziej szczegółowy wgląd w Defender portal.
  • Bez tych licencji pozostanie podstawowy wgląd w Teams Admin Center (raporty ochrony / Protection Reports).

Praktyczne konsekwencje / ryzyko

Co to realnie poprawia?

  1. Szybszy sygnał od użytkownika – zamiast „napiszcie do IT”, zgłoszenie staje się danymi do korelacji i raportowania trendów.
  2. Widoczność w SOC – nawet jeśli atak „nie zostawił linku”, nadal zostawia metadane i ślad zdarzenia w ekosystemie bezpieczeństwa.

Ryzyka wdrożeniowe

  • Szum operacyjny: jeśli użytkownicy zaczną zgłaszać wszystko, SOC dostanie „spam zgłoszeń”.
  • Fałszywe poczucie bezpieczeństwa: ostrzeżenia i przycisk zgłoszenia nie zastąpią procedur weryfikacji tożsamości rozmówcy.
  • Prywatność i governance: nawet metadane połączeń to dane wrażliwe organizacyjnie – trzeba je objąć polityką retencji, dostępów i audytu.

Rekomendacje operacyjne / co zrobić teraz

  1. Zdefiniuj playbook dla „podejrzanego połączenia”
    • kryteria: podszywanie pod IT/finanse, prośby o MFA, reset hasła, instalację narzędzia zdalnego dostępu, presja czasu;
    • działania: weryfikacja rozmówcy kanałem niezależnym, zgłoszenie incydentu, kontrola konta użytkownika (logowania, anomalie).
  2. Ustal triage i priorytetyzację
    • reguły korelacji: czy numer/konto dzwoniło do wielu osób, czy występuje wzorzec w czasie, czy są równoległe alerty (np. nietypowe logowania).
  3. Przygotuj komunikację dla pracowników
    • krótko: kiedy zgłaszać, kiedy kończyć rozmowę, czego nigdy nie podawać;
    • pokaż przykłady „pretekstów” w voice-phishingu.
  4. Sprawdź ustawienia w Teams Admin Center
    • skoro funkcja ma być domyślnie włączona, decyzja powinna być świadoma (pozostawić i okiełznać procesem, albo wyłączyć z uzasadnieniem).
  5. Jeśli masz Defender – zintegruj to z pracą SOC
    • przypisz odpowiedzialność (kto monitoruje nowe zgłoszenia),
    • zrób dashboard trendów i kampanii (miesiąc do miesiąca).

Różnice / porównania z innymi przypadkami

W Teams od pewnego czasu rozwijane jest też raportowanie podejrzanych wiadomości („Report this message”), które trafia do analizy po stronie bezpieczeństwa i przyspiesza wykrywanie zagrożeń w warstwie konwersacji.

Kluczowa różnica:

  • Wiadomości: często zawierają linki/załączniki → łatwiej o automatyczną analizę treści.
  • Połączenia: treści nie ma w zgłoszeniu, więc wartość leży w metadanych + korelacji + szybkości reakcji. Dlatego tak istotne jest, by playbook SOC nie opierał się wyłącznie na „kliknięciu zgłoś”, ale na szybkiej weryfikacji kontekstu i aktywności konta.

8Podsumowanie / kluczowe wnioski

„Report a Call” w Teams to mała zmiana w UI, ale duża zmiana w praktyce: użytkownik staje się czujnikiem, a SOC dostaje nowy sygnał o kampaniach socjotechnicznych prowadzonych głosem. Najwięcej zyskają organizacje, które:

  • połączą zgłoszenia z korelacją w Defender (jeśli mają licencje),
  • ograniczą szum jasnym szkoleniem i prostym playbookiem,
  • potraktują tę funkcję jako element strategii „secure collaboration”, obok ostrzeżeń o podszywaniu się pod marki.

Źródła / bibliografia

  • BleepingComputer: „New Microsoft Teams feature will let you report suspicious calls” (29 stycznia 2026). (BleepingComputer)
  • Microsoft 365 Roadmap: pozycja „Microsoft Teams: Report a Suspicious Call in Microsoft Teams” (status i daty na roadmapie). (Microsoft)
  • Microsoft Learn: „Microsoft Defender for Office 365 support for Microsoft Teams” (możliwości bezpieczeństwa i raportowania w Teams). (Microsoft Learn)
  • Microsoft Tech Community (Defender for Office 365 Blog): „Safeguarding Microsoft Teams…” (kontekst raportowania zagrożeń w Teams). (TECHCOMMUNITY.MICROSOFT.COM)
  • Windows Central: opis „Brand Impersonation Protection” i ostrzeżeń o podszywaniu się w połączeniach Teams (27 stycznia 2026). (Windows Central)

Łotwa: Rosja nadal największym zagrożeniem cybernetycznym — rekord ataków i rosnące ryzyko dla OT/ICS

Wprowadzenie do problemu / definicja luki

Łotewskie służby i zespoły reagowania na incydenty sygnalizują, że presja ze strony Rosji w cyberprzestrzeni nie słabnie, a 2025 r. przyniósł rekordowy poziom zarejestrowanych zagrożeń. Problem nie dotyczy „jednej luki CVE”, lecz systematycznej kampanii łączącej cyberataki (DDoS, włamania, malware), działania o charakterze sabotażowym oraz presję psychologiczną i polityczną — szczególnie w okresach „wrażliwych” decyzji publicznych.

Istotnym elementem ostrzeżeń jest rosnąca ekspozycja systemów OT/ICS (Operational Technology / Industrial Control Systems) w sektorach energii, wody i transportu — środowisk, w których zaległości w segmentacji, monitoringu i zarządzaniu poprawkami bywają normą, a skutki incydentu mogą wyjść poza IT i uderzyć w usługi krytyczne.

W skrócie

  • Rosja pozostaje głównym źródłem ryzyka dla Łotwy; aktywność ma związek z geopolityką i wsparciem dla Ukrainy.
  • Większość incydentów to cyberprzestępczość i oszustwa, ale występują też poważniejsze zdarzenia: włamania, dystrybucja malware, kompromitacje urządzeń i DDoS.
  • CERT.LV utrzymuje, że od 2022 r. Łotwa obserwuje stały wysoki poziom incydentów (ok. 500–700 kwartalnie); w Q3 2025 odnotowano 671 incydentów.
  • Widać wzrost znaczenia botnetów/IoT i automatycznej eksploatacji podatności, co przekłada się na rosnącą liczbę „skompromitowanych urządzeń”.
  • W tle europejskim utrzymuje się trend, w którym hacktywiści i DDoS stanowią dużą część wolumenu ataków na administrację publiczną (m.in. NoName057(16)).

Kontekst / historia / powiązania

Z perspektywy Łotwy kluczowym punktem odniesienia jest okres po pełnoskalowej inwazji Rosji na Ukrainę (2022), po którym — według CERT.LV — „niska intensywność” przestała być normą, a ryzyko utrzymuje się stale na wysokim poziomie.

SAB (łotewski Constitution Protection Bureau) wskazuje, że Rosja postrzega konfrontację z Zachodem szeroko (globalnie i ideologicznie) i utrzymuje wachlarz narzędzi wpływu, w tym gotowość do działań w cyberprzestrzeni oraz działań sabotażowych. W tym ujęciu cyberataki mają funkcję nie tylko „techniczną”, ale także strategiczno-psychologiczną: testowanie odporności, zastraszanie, karanie za decyzje polityczne.

Analiza techniczna / szczegóły luki

1) Dominujące techniki: od DDoS po kompromitacje i malware

SAB w podsumowaniach (na bazie 2025 r.) wymienia jako najpoważniejsze zdarzenia m.in. intrusion attempts, malware distribution, equipment compromise oraz DDoS.
CERT.LV w Q1 2025 pokazuje strukturę incydentów, gdzie ilościowo dominują oszustwa (fraud), ale w TOP5 pojawiają się też próby włamań, złośliwy kod, skompromitowane urządzenia oraz incydenty dostępności usług.

2) Botnety, IoT i automatyzacja eksploatacji

CERT.LV raportuje, że rośnie liczba skompromitowanych urządzeń i wskazuje na wejście w „nową fazę” zagrożeń: botnety/IoT, malware oraz automatyczne skanowanie i eksploatację podatności. W Q3 2025 zarejestrowano 671 incydentów, a dynamika kompromitacji urządzeń była wyraźnie wzrostowa.

3) Eksploatacja podatności w popularnych produktach

W Q3 2025 CERT.LV odnotowuje aktywne wykorzystywanie krytycznych podatności m.in. w Microsoft SharePoint i WinRAR, a co szczególnie istotne — przynajmniej jeden przypadek kompromitacji wykryto w sektorze infrastruktury krytycznej.

4) OT/ICS jako najbardziej ryzykowny wektor

SAB oraz CERT.LV podkreślają ryzyko dla systemów OT/ICS w sektorach takich jak energia i woda. W praktyce takie środowiska bywają trudniejsze do aktualizacji, słabiej monitorowane, a zarządzanie tożsamością i segmentacją jest często historycznie „długiem technicznym”.

Praktyczne konsekwencje / ryzyko

  1. Zdarzenia masowe bez spektakularnego skutku ≠ brak ryzyka. SAB zaznacza, że wiele incydentów nie powodowało poważnych zakłóceń, ale to nie unieważnia trendu wzrostowego i gotowości przeciwnika do eskalacji.
  2. „Polityczne kalendarze” jako wyzwalacze ataków. Według SAB rosyjskie DDoS-y na instytucje rządowe i samorządy często zgrywają się z wrażliwymi datami/decyzjami; jako przykład podano silny atak po ogłoszeniu wyniku międzynarodowego kontraktu dronowego (lipiec).
  3. Ryzyko ciągłości działania w administracji i usługach publicznych. ENISA dla sektora administracji publicznej w UE opisuje krajobraz, w którym DDoS stanowi znaczną część incydentów, a aktywność hacktywistów (napędzana m.in. wojną) utrzymuje się na wysokim poziomie — co dobrze „skaluje się” do doświadczeń Łotwy jako państwa frontowego w domenie hybrydowej.
  4. Najgroźniejszy scenariusz: OT/ICS. Krótkotrwałe zakłócenia w OT (energia/woda/transport) mogą mieć efekt kaskadowy: przerwy w usługach, koszty operacyjne, presja polityczna i spadek zaufania społecznego. SAB wprost wskazuje gotowość rosyjskich aktorów do ataków na systemy przemysłowe, co zwiększa wagę prewencji.

Rekomendacje operacyjne / co zrobić teraz

Dla IT (administracja, samorządy, instytucje publiczne)

  • Higiena podatności i aktualizacji: twarde SLA na łatki dla systemów wystawionych do Internetu (szczególnie platformy współdzielenia treści/portale).
  • Odporność na DDoS: CDN/WAF, rate-limiting, geofencing tam, gdzie uzasadnione, scenariusze przełączeń i testy „na zimno”.
  • MFA i twarde zasady dostępu: warunkowy dostęp, ograniczenie kont uprzywilejowanych, rozdział ról, logowanie i alertowanie na anomalie.
  • Kopie zapasowe + test odtwarzania: szczególnie pod kątem ransomware i kompromitacji usług krytycznych w administracji.

Dla OT/ICS (energia, woda, ciepłownictwo, transport)

  • Segmentacja IT/OT i minimalizacja ekspozycji: separacja stref, brak „płaskich” sieci, kontrola zdalnego dostępu (jump host, MFA, rejestrowanie sesji).
  • Monitorowanie specyficzne dla OT: detekcja anomalii protokołów przemysłowych, widoczność zasobów i zależności.
  • Zarządzanie podatnościami w OT: tam, gdzie nie da się łatkować szybko — kompensacje (reguły firewall, allow-listing, izolacja usług).
  • Ćwiczenia IR „end-to-end”: scenariusze DDoS + próba wejścia + incydent w OT (wspólny playbook IT/OT).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Łotwa wyróżnia się ciągłym, wysokim tłem zagrożeń oraz naciskiem na komponent państwowo-geopolityczny (Rosja jako główne źródło ryzyka).
Jednocześnie wektor „wolumenowy” (DDoS/hacktywizm) wpisuje się w obserwacje ENISA dla administracji publicznej w UE: duży udział ataków zakłócających dostępność i kampanii napędzanych wydarzeniami geopolitycznymi, z rozpoznawalnymi grupami pokroju NoName057(16).

Podsumowanie / kluczowe wnioski

  • 2025 r. to dla Łotwy rekord zarejestrowanych zagrożeń, a Rosja pozostaje głównym źródłem presji w cyberprzestrzeni.
  • Statystyki CERT.LV pokazują stabilnie wysoki poziom incydentów od 2022 r. i rosnącą wagę botnetów/IoT oraz automatycznej eksploatacji podatności.
  • Kluczowe ryzyko strategiczne przesuwa się w stronę OT/ICS, gdzie „krótkie zakłócenie” może stać się realnym problemem dla usług krytycznych.
  • Dla organizacji publicznych i operatorów infrastruktury krytycznej priorytetem powinny być: patching, odporność na DDoS, segmentacja IT/OT oraz dojrzały IR.

Źródła / bibliografia

  1. The Record (Recorded Future News): materiał o ostrzeżeniach SAB i rekordzie zagrożeń w 2025 r. (The Record from Recorded Future)
  2. SAB — Annual Report 2025 (ENG), unclassified part.
  3. CERT.LV: Latvian Cyberspace Situation Q3 2025.
  4. CERT.LV: The situation in Latvian cyberspace Q1 2025. (cert.lv)
  5. ENISA: Sectorial Threat Landscape – Public Administration (2024 data). (ENISA)

France Travail ukarany przez CNIL: 5 mln euro za braki w bezpieczeństwie po wycieku danych 36,8 mln osób

Wprowadzenie do problemu / definicja luki

Francuski regulator ochrony danych (CNIL) nałożył na publiczną agencję zatrudnienia France Travail (dawniej Pôle Emploi) karę 5 mln euro za niewystarczające środki techniczne i organizacyjne chroniące dane osób poszukujących pracy. Sprawa jest istotna nie tylko ze względu na skalę (dziesiątki milionów rekordów), ale też dlatego, że pokazuje „klasyczny” wektor ataku: socjotechnikę wspartą słabymi kontrolami dostępu i detekcji.

W skrócie

  • Kara: 5 mln euro; dodatkowo ryzyko kary okresowej 5 000 euro/dzień za brak wykazania działań naprawczych w terminie.
  • Atak: trwał od 6 lutego do 5 marca 2024, wykryty sygnałem anomalii 29 lutego; formalna notyfikacja do CNIL: 8 marca 2024 (uzupełniona 15 maja 2024).
  • Skala exfiltracji: 25 GB danych dotyczących 36 820 828 osób.
  • Wektor wejścia: socjotechnika i przejęcie kont doradców partnera Cap Emploi (m.in. poprzez proces resetu hasła i podszywanie się pod helpdesk).
  • Kluczowe braki (Art. 32 RODO): zbyt słabe mechanizmy uwierzytelniania, niewystarczające logowanie/monitoring oraz zbyt szerokie uprawnienia kont partnera.

Kontekst / historia / powiązania

CNIL wskazuje, że naruszenie dotyczyło danych osób zarejestrowanych w France Travail w ciągu ostatnich 20 lat oraz osób posiadających konto kandydata na portalu francetravail.fr.
W decyzji sankcyjnej podkreślono też relację operacyjną z Cap Emploi (sieć struktur wspierających zatrudnienie osób z niepełnosprawnościami) i fakt, że pracownicy partnera mieli zdalny dostęp do aplikacji biznesowej France Travail.

Analiza techniczna / szczegóły luki

1. Socjotechnika + przejęcie kont (Account Takeover)

Atakujący:

  1. zdobyli dane potrzebne do resetu hasła doradcy Cap Emploi,
  2. złożyli wniosek o reset do dostawcy wsparcia IT, podszywając się pod pracowników Cap Emploi,
  3. następnie kontaktowali się z doradcami, udając helpdesk i przekazując „nowe” hasło.

To typowy scenariusz „helpdesk-driven ATO”, gdzie bezpieczeństwo całego systemu zależy od jakości procedur weryfikacji tożsamości po stronie wsparcia oraz od tego, czy konto ma dodatkowe zabezpieczenia (np. MFA, restrykcje kontekstowe).

2. Skala dostępu i zakres wycieku

Według decyzji (SAN–2026-003) wyprowadzono m.in.: imię i nazwisko, datę urodzenia, NIR (francuski numer ubezpieczenia społecznego), adres, e-mail, telefon, status rejestracji i daty rejestracji – łącznie 36 820 828 osób i ok. 25 GB.
CNIL zaznacza jednocześnie, że napastnicy nie uzyskali dostępu do „pełnych teczek” bezrobotnych, które mogą zawierać dane szczególnie wrażliwe (np. zdrowotne).

3. Co CNIL uznał za kluczowe braki (Art. 32 RODO)

W komunikacie CNIL i materiale sprawy powtarzają się trzy filary:

  • Uwierzytelnianie kont partnera nie było wystarczająco odporne (w decyzji pojawia się m.in. krytyka progu 50 nieudanych prób logowania przed blokadą).
  • Detekcja i logowanie: niewystarczające mechanizmy monitoringu/journalizacji do szybkiego wykrywania anomalii.
  • Zasada najmniejszych uprawnień: konta doradców Cap Emploi miały uprawnienia zdefiniowane zbyt szeroko (dostęp do danych osób, których nie obsługiwali), co zwiększyło „blast radius”.
    Dodatkowo CNIL odnotował, że część właściwych środków była zidentyfikowana wcześniej (np. w analizach ryzyka), ale nie została skutecznie wdrożona.

Praktyczne konsekwencje / ryzyko

Wyciek pakietu danych typu NIR + dane kontaktowe + adres to paliwo dla:

  • kradzieży tożsamości i prób „account recovery” w bankach/telekomach,
  • ukierunkowanego phishingu (podszywanie się pod instytucje publiczne, świadczenia, rekrutację),
  • oszustw socjalnych (np. fałszywe oferty pracy i wyłudzenia opłat),
  • długoterminowego ryzyka, bo dane dotyczą osób z horyzontu 20 lat rejestracji.

Rekomendacje operacyjne / co zrobić teraz

Jeśli zarządzasz systemem z dostępem partnerów/outsourcingu (B2B/B2G), ta sprawa podpowiada priorytety:

  1. Wymuś MFA i twarde polityki dostępu dla kont zewnętrznych
    • MFA wszędzie, a dla zdalnego dostępu: warunkowe reguły (kontekst, urządzenie, geolokacja, ryzyko).
  2. Uszczelnij procesy helpdesk/resetu hasła
    • weryfikacja wielokanałowa, „no-override”, rejestrowanie i audyt działań supportu, detekcja nadużyć resetów.
  3. Least privilege i segmentacja danych
    • uprawnienia „per caseload”, ograniczenia regionalne/funkcyjne, JIT/JEA dla dostępu podwyższonego.
  4. Monitoring, logowanie i szybka reakcja
    • centralizacja logów, korelacja (SIEM), alerty na anomalie (nietypowe zapytania masowe, eksporty, wzrost zużycia zasobów), playbooki IR.
  5. Ćwiczenia z socjotechniki + „defense in depth”
    • szkolenia, testy, symulacje, ale też zabezpieczenia systemowe zakładające, że użytkownik może zostać zmanipulowany (CNIL wyraźnie podkreśla ten punkt w argumentacji).

Różnice / porównania z innymi przypadkami

W styczniu 2026 CNIL uderzył również w sektor prywatny: FREE MOBILE i FREE dostały łącznie 42 mln euro m.in. za niewystarczająco robustne uwierzytelnianie do VPN i nieskuteczną detekcję anomalii – znów wprost w kontekście Art. 32 RODO.

Wspólny mianownik obu spraw:

  • regulator premiuje podejście „proporcjonalne do ryzyka”: im większa skala i wrażliwość danych, tym większa oczekiwana dojrzałość kontroli,
  • powtarza się nacisk na uwierzytelnianie + monitoring + minimalizację uprawnień jako „bazę”, nie opcję.

Podsumowanie / kluczowe wnioski

  • To nie „egzotyczny zero-day”, tylko mieszanka socjotechniki i luk w kontrolach: ATO przez helpdesk + szerokie uprawnienia + słaba detekcja.
  • Skala (36,8 mln osób, 25 GB) i wrażliwy identyfikator (NIR) sprawiają, że incydent ma realne przełożenie na fraudy i phishing.
  • CNIL konsekwentnie stosuje Art. 32 RODO: bezpieczeństwo ma być wdrożone, a nie tylko „opisane w analizie ryzyka”.

Źródła / bibliografia

  1. CNIL – komunikat o sankcji dla France Travail (29.01.2026; decyzja 22.01.2026) (CNIL)
  2. Légifrance – Délibération SAN–2026-003 (opis incydentu, 36 820 828 osób, 25 GB, przebieg ataku) (Légifrance)
  3. The Record (Recorded Future News) – omówienie decyzji i stanowiska France Travail (The Record from Recorded Future)
  4. Help Net Security – skrót konsekwencji i kontekstu regulacyjnego (Help Net Security)
  5. CNIL – analogiczna sankcja dot. bezpieczeństwa (FREE MOBILE/FREE, 14.01.2026) (CNIL)