Archiwa: APT - Strona 15 z 45 - Security Bez Tabu

Internetowo dostępne sterowniki Rockwell PLC celem grup powiązanych z Iranem

Wprowadzenie do problemu / definicja

Ekspozycja systemów OT i ICS do internetu pozostaje jednym z najpoważniejszych zagrożeń dla bezpieczeństwa infrastruktury krytycznej. Najnowsze ustalenia pokazują, że tysiące sterowników PLC firmy Rockwell Automation/Allen-Bradley nadal odpowiada na zapytania z sieci publicznej, co znacząco zwiększa ryzyko rozpoznania, profilowania i potencjalnej manipulacji procesami przemysłowymi przez zaawansowanych aktorów zagrożeń.

Problem nie dotyczy wyłącznie samej obecności urządzeń w internecie. Równie istotna jest możliwość zdalnego pozyskania informacji o typie urządzenia, rodzinie produktowej i wersji firmware’u, co ułatwia dobór skutecznych technik ataku oraz priorytetyzację najbardziej atrakcyjnych celów.

W skrócie

Zidentyfikowano 5 219 hostów odpowiadających na zapytania EtherNet/IP i deklarujących się jako urządzenia Rockwell Automation/Allen-Bradley.
Około 74,6% ekspozycji przypada na Stany Zjednoczone, czyli 3 891 systemów dostępnych z internetu.
Znaczna część urządzeń działa w sieciach komórkowych, co sugeruje wdrożenia terenowe, takie jak stacje pomp, podstacje i rozproszone elementy automatyki.
Atakujący mają wykorzystywać legalne oprogramowanie inżynierskie do interakcji z projektami PLC oraz wpływania na dane prezentowane w HMI i SCADA.

Kontekst / historia

7 kwietnia 2026 roku amerykańskie agencje federalne opublikowały wspólne ostrzeżenie dotyczące aktywnej eksploatacji internetowo dostępnych sterowników Rockwell Automation/Allen-Bradley przez podmioty powiązane z Iranem. Wskazano, że działania obejmowały wiele sektorów infrastruktury krytycznej, w tym administrację publiczną, gospodarkę wodno-ściekową oraz energetykę.

Obecna aktywność wpisuje się w szerszy trend operacji wymierzonych w środowiska OT. Na tle wcześniejszych kampanii, w tym działań przeciwko urządzeniom Unitronics z 2023 roku, obecny wektor ataku jest bardziej precyzyjnie ukierunkowany na ekosystem Rockwell. Charakter tych działań sugeruje, że celem nie jest wyłącznie rozpoznanie, ale również możliwość wywoływania zakłóceń operacyjnych.

Analiza techniczna

Kluczowym elementem problemu jest protokół EtherNet/IP działający na porcie 44818. Umożliwia on uzyskanie odpowiedzi identyfikacyjnych urządzenia bez uwierzytelnienia, co pozwala na precyzyjny fingerprinting zasobów przemysłowych. Napastnik może w ten sposób ustalić rodzinę produktu, model oraz wersję oprogramowania układowego i na tej podstawie dobrać odpowiednią ścieżkę działania.

W analizowanej grupie urządzeń dominowały sterowniki z rodzin MicroLogix 1400 oraz CompactLogix. Część z nich pracowała na starszych wersjach firmware’u, co zwiększa prawdopodobieństwo skutecznego wykorzystania znanych słabości lub niewłaściwych konfiguracji. W praktyce umożliwia to automatyczne skanowanie internetu, selekcję interesujących modeli PLC i budowanie list celów według ich znaczenia operacyjnego.

Dodatkowym problemem była współekspozycja innych usług sieciowych. Oprócz EtherNet/IP w wielu przypadkach widoczne były również usługi takie jak VNC, Telnet czy Modbus. Tego rodzaju konfiguracje rozszerzają powierzchnię ataku i mogą prowadzić do przejęcia dostępu do interfejsów operatorskich, ujawnienia poświadczeń przesyłanych jawnym tekstem lub interakcji z urządzeniami przemysłowymi poza głównym kanałem zarządzania PLC.

Badacze zwrócili również uwagę, że część wskaźników kompromitacji mogła odnosić się do jednego wielointerfejsowego hosta inżynierskiego wyposażonego w komplet narzędzi Rockwell, a nie do wielu niezależnych stacji operatorskich. Taki scenariusz oznacza, że pojedyncza stacja inżynierska mogła pełnić rolę centralnego punktu operacyjnego do zarządzania wieloma urządzeniami końcowymi.

Konsekwencje / ryzyko

Ryzyko ma charakter przede wszystkim operacyjny. Nieautoryzowana modyfikacja plików projektowych PLC lub manipulacja logiką sterowania może doprowadzić do zakłóceń procesów technologicznych, błędnych wskazań w systemach HMI i SCADA, a także do wymiernych strat finansowych wynikających z przestojów i konieczności przywracania środowiska do stanu bezpiecznego.

W sektorach takich jak wodociągi, energetyka czy usługi komunalne skutki mogą obejmować ograniczenie dostępności usług, błędne decyzje operatorów, a w skrajnych przypadkach również zagrożenie dla bezpieczeństwa fizycznego. Szczególnie niebezpieczne pozostają wdrożenia terenowe podłączone do internetu przez modemy komórkowe lub łącza satelitarne, ponieważ często są słabiej monitorowane i rzadziej aktualizowane.

Wysoki udział Stanów Zjednoczonych w globalnej ekspozycji pokazuje skalę problemu, ale koncentracje widoczne także w innych krajach potwierdzają, że jest to zagrożenie o zasięgu międzynarodowym. Organizacje korzystające z automatyki przemysłowej nie mogą zakładać, że problem dotyczy wyłącznie największych operatorów infrastruktury krytycznej.

Rekomendacje

Najważniejszym krokiem obronnym jest eliminacja bezpośredniej ekspozycji sterowników PLC do internetu. Jeżeli całkowite odłączenie nie jest możliwe, urządzenia powinny zostać umieszczone za zaporami, bramami pośredniczącymi i mechanizmami ścisłej kontroli komunikacji. Publiczny dostęp do portów wykorzystywanych przez EtherNet/IP, Modbus, Telnet czy narzędzia zdalnego pulpitu powinien zostać wyłączony.

Organizacje powinny przeprowadzić pełną inwentaryzację urządzeń Rockwell/Allen-Bradley, ze szczególnym uwzględnieniem systemów terenowych korzystających z transmisji komórkowej. Należy zweryfikować wersje firmware’u, wyłączyć nieużywane usługi, usunąć konfiguracje domyślne i ograniczyć zdalny dostęp wyłącznie do silnie uwierzytelnionych kanałów administracyjnych.

W przypadku stacji inżynierskich konieczne są separacja sieciowa, zasada najmniejszych uprawnień oraz monitoring behawioralny. W warstwie detekcji warto monitorować ruch na portach charakterystycznych dla OT, analizować nietypowe połączenia spoza zwykłych okien serwisowych i kontrolować zmiany w plikach projektowych. Istotne znaczenie ma także wdrożenie procedur reagowania incydentowego obejmujących zarówno IT, jak i OT.

Podsumowanie

Przypadek internetowo dostępnych sterowników Rockwell PLC pokazuje, że podstawowe błędy architektoniczne w środowiskach przemysłowych nadal tworzą dogodne warunki do działań grup APT. Sama widoczność urządzeń w internecie, połączona z możliwością ich zdalnego fingerprintingu bez uwierzytelnienia, znacząco obniża koszt rozpoznania i wyboru celów.

Dla operatorów infrastruktury krytycznej to wyraźny sygnał, że bezpieczeństwo OT wymaga pilnego ograniczenia ekspozycji, przeglądu stacji inżynierskich oraz skutecznego monitoringu komunikacji przemysłowej. W praktyce ochrona nie może kończyć się na sieci IT, lecz musi obejmować cały łańcuch sterowania procesem.

Źródła

Censys finds 5,219 devices exposed to attacks by Iranian APTs, majority in U.S. — https://securityaffairs.com/190646/ics-scada/censys-finds-5219-devices-exposed-to-attacks-by-iranian-apts-majority-in-u-s.html
Iranian-Affiliated APT Targeting of Rockwell/Allen-Bradley PLCs — https://censys.com/blog/iranian-affiliated-apt-targeting-rockwell-allen-bradley-plcs/
U.S. agencies alert: Iran-linked actors target critical infrastructure PLCs — https://securityaffairs.com/190485/apt/u-s-agencies-alert-iran-linked-actors-target-critical-infrastructure-plcs.html

Tysiące sterowników PLC Rockwell dostępnych z internetu zwiększają ryzyko ataków irańskich grup APT

Wprowadzenie do problemu

Ekspozycja systemów OT i ICS do publicznego internetu pozostaje jednym z najpoważniejszych problemów bezpieczeństwa przemysłowego. Najnowsze ustalenia wskazują, że tysiące sterowników PLC Rockwell Automation i Allen-Bradley nadal odpowiadają na zapytania z sieci publicznej, co znacząco ułatwia rozpoznanie infrastruktury oraz wybór celów przez zaawansowane grupy powiązane z Iranem.

W praktyce oznacza to, że elementy odpowiedzialne za sterowanie procesami przemysłowymi mogą być identyfikowane zdalnie bez konieczności wcześniejszego naruszenia sieci ofiary. Taka sytuacja zwiększa ryzyko sabotażu, zakłóceń operacyjnych oraz incydentów wpływających na ciągłość działania infrastruktury krytycznej.

W skrócie

Badacze zidentyfikowali 5 219 publicznie dostępnych hostów odpowiadających na protokół EtherNet/IP i identyfikujących się jako urządzenia Rockwell Automation lub Allen-Bradley. Zdecydowana większość z nich znajduje się w Stanach Zjednoczonych, co podnosi poziom ryzyka dla operatorów infrastruktury krytycznej.

Wykryto tysiące publicznie dostępnych urządzeń PLC Rockwell.
Ostrzeżenia wskazują na aktywność irańskich operatorów APT wobec środowisk OT.
Ataki mogą obejmować manipulację plikami projektowymi oraz danymi prezentowanymi w HMI i SCADA.
Dodatkowe usługi, takie jak VNC, Telnet czy Modbus, zwiększają powierzchnię ataku.

Kontekst i historia

Problem publicznie dostępnych urządzeń sterowania przemysłowego nie jest nowy, jednak obecna fala ostrzeżeń pokazuje zmianę charakteru zagrożenia. W przeszłości ekspozycja PLC była często skutkiem błędnej segmentacji, wygodnych mechanizmów zdalnego utrzymania lub wykorzystania łączy komórkowych w rozproszonych lokalizacjach.

Dziś taki stan rzeczy jest postrzegany jako bezpośredni wektor wejścia dla grup państwowych oraz operatorów APT, którzy nie ograniczają się już wyłącznie do cyberszpiegostwa. Coraz częściej mowa o działaniach mogących wywołać realne zakłócenia procesów fizycznych w sektorach takich jak gospodarka wodno-ściekowa, energetyka czy administracja publiczna.

Analiza techniczna

Kluczowym elementem problemu jest protokół EtherNet/IP, szeroko stosowany w środowiskach przemysłowych opartych o urządzenia Rockwell. Hosty nasłuchujące na porcie 44818 mogą zwracać informacje identyfikacyjne pozwalające ustalić typ urządzenia, rodzinę produktu, a niekiedy także wersję oprogramowania układowego. Co istotne, taka identyfikacja często nie wymaga uwierzytelnienia.

Z punktu widzenia atakującego znacząco upraszcza to fingerprinting i budowanie listy priorytetowych celów. Nie trzeba najpierw uzyskać pełnego dostępu do sieci ofiary, aby określić, jakie sterowniki są wystawione do internetu i które z nich mogą być szczególnie cenne lub podatne.

Szczególnie niepokojące jest współwystępowanie dodatkowych usług zdalnych. W części przypadków obok EtherNet/IP widoczne były również usługi takie jak VNC, Telnet czy Modbus. Taka kombinacja tworzy wielowarstwową ekspozycję, w której przejęcie jednego elementu może ułatwić dostęp do kolejnych komponentów środowiska OT.

Dodatkowym czynnikiem ryzyka jest charakter wdrożeń terenowych. Urządzenia obserwowane przez sieci komórkowe mogą znajdować się w rozproszonych lokalizacjach, takich jak obiekty wodociągowe, stacje energetyczne czy inne zdalne instalacje. W takich miejscach egzekwowanie polityk bezpieczeństwa, monitoring i zarządzanie poprawkami bywają trudniejsze niż w klasycznych zakładach przemysłowych.

Na poziomie skutków technicznych ostrzeżenia wskazują na możliwość manipulacji plikami projektowymi oraz zmian danych prezentowanych operatorom w interfejsach HMI i systemach SCADA. To wyjątkowo groźny scenariusz, ponieważ może prowadzić nie tylko do modyfikacji parametrów procesu, ale również do wprowadzenia operatora w błąd co do rzeczywistego stanu instalacji.

Konsekwencje i ryzyko

Ryzyko wynikające z ekspozycji PLC do internetu ma zarówno wymiar cybernetyczny, jak i fizyczny. W lżejszym scenariuszu dochodzi do rozpoznania infrastruktury i przygotowania gruntu pod przyszły atak. W poważniejszych przypadkach możliwe są zakłócenia procesów, zatrzymanie usług, utrata integralności danych procesowych, manipulacja wizualizacją operatorską, a nawet uszkodzenie urządzeń.

Największe zagrożenie dotyczy sektorów, w których nawet krótkotrwała niedostępność systemów może mieć istotne skutki społeczne lub ekonomiczne. Dotyczy to zwłaszcza wodociągów, oczyszczalni ścieków, energetyki oraz infrastruktury komunalnej. Jeśli sterownik PLC jest dostępny bez odpowiedniej segmentacji i silnych mechanizmów ochronnych, staje się atrakcyjnym celem nie tylko dla grup państwowych, ale także dla cyberprzestępców i operatorów ransomware.

Sama obecność urządzenia w internecie nie oznacza jeszcze natychmiastowego kompromitowania, ale znacząco obniża próg wejścia dla atakującego. Jeżeli dodatkowo urządzenie działa na starszym firmware, korzysta z domyślnych konfiguracji lub współistnieje z niezaszyfrowanymi usługami administracyjnymi, poziom ryzyka rośnie bardzo szybko.

Rekomendacje

Podstawowym działaniem obronnym powinno być usunięcie sterowników PLC i interfejsów HMI z bezpośredniej ekspozycji do internetu. Jeśli zdalny dostęp jest konieczny, powinien być realizowany wyłącznie przez kontrolowaną architekturę pośrednią, na przykład VPN z uwierzytelnianiem wieloskładnikowym, bastion administracyjny lub wydzielony segment zarządzający.

Przeprowadzić pełną inwentaryzację publicznie dostępnych zasobów OT oraz połączeń komórkowych.
Zweryfikować, które urządzenia odpowiadają na EtherNet/IP, Modbus, VNC, Telnet i inne protokoły administracyjne.
Wyłączyć lub ograniczyć wszystkie zbędne usługi zdalne.
Zaktualizować firmware oraz oprogramowanie inżynierskie tam, gdzie jest to bezpieczne operacyjnie.
Sprawdzić logi pod kątem nietypowych połączeń, zmian konfiguracji i operacji na plikach projektowych.
Odseparować stacje inżynierskie od sieci biurowej i internetu.
Wdrożyć pasywny monitoring ruchu OT oraz alertowanie dotyczące zmian w logice sterowania.
Przetestować procedury reagowania na incydenty obejmujące także środowiska ICS i SCADA.

Z perspektywy strategicznej organizacje powinny traktować internet jako środowisko wrogie dla urządzeń sterowania. W infrastrukturze krytycznej bezpieczeństwo operacyjne musi mieć pierwszeństwo przed wygodą administracji i szybkością zdalnego dostępu.

Podsumowanie

Wykrycie ponad pięciu tysięcy publicznie dostępnych urządzeń Rockwell Automation pokazuje, że podstawowe błędy architektoniczne w środowiskach OT nadal występują na dużą skalę. Jednocześnie ostrzeżenia dotyczące aktywności irańskich grup APT potwierdzają, że problem nie jest już wyłącznie teoretyczny, lecz może prowadzić do realnych zakłóceń operacyjnych.

Połączenie publicznej ekspozycji PLC, możliwości zdalnego fingerprintingu bez uwierzytelnienia oraz obecności dodatkowych usług zdalnych tworzy warunki sprzyjające skutecznym operacjom zakłócającym. Dla operatorów infrastruktury krytycznej to wyraźny sygnał, że redukcja powierzchni ataku i przegląd wszystkich kanałów dostępu do systemów przemysłowych powinny stać się priorytetem.

Źródła

Censys: Iranian-Affiliated APT Targeting of Rockwell/Allen-Bradley PLCs — https://censys.com/blog/iranian-affiliated-apt-targeting-rockwell-allen-bradley-plcs/
Security Affairs: Censys finds 5,219 devices exposed to attacks by Iranian APTs, majority in U.S. — https://securityaffairs.com/190646/ics-scada/censys-finds-5219-devices-exposed-to-attacks-by-iranian-apts-majority-in-u-s.html
CISA: Iranian-Affiliated Cyber Actors Exploit Programmable Logic Controllers Across US Critical Infrastructure — https://www.cisa.gov/news-events/cybersecurity-advisories/aa26-097a

Czy zawieszenie broni ogranicza cyberataki? Historia pokazuje, że nie

Wprowadzenie do problemu / definicja

Zawieszenie broni w konflikcie kinetycznym nie oznacza automatycznie deeskalacji w cyberprzestrzeni. Operacje cybernetyczne często trwają mimo politycznych deklaracji o ograniczeniu działań zbrojnych, a ich charakter może ulegać zmianie zamiast całkowitego wygaszenia. Dla organizacji publicznych i prywatnych oznacza to, że rozejm nie powinien być traktowany jako wiarygodny sygnał spadku ryzyka cybernetycznego.

W praktyce cyberprzestrzeń pozostaje obszarem, w którym państwa, grupy sponsorowane oraz podmioty podszywające się pod hacktywizm mogą utrzymywać presję bez bezpośredniego naruszania formalnych warunków zawieszenia broni. To właśnie dlatego zespoły bezpieczeństwa muszą analizować takie wydarzenia przede wszystkim jako możliwy moment zmiany taktyki przeciwnika.

W skrócie

Historia ostatnich konfliktów pokazuje, że rozejmy rzadko prowadzą do pełnego „cyfrowego zawieszenia broni”. Nawet jeśli niektóre grupy deklarują czasowe ograniczenie aktywności, inne elementy tego samego ekosystemu zagrożeń mogą kontynuować operacje w mniej widocznej formie.

Najczęściej obserwowanym zjawiskiem nie jest całkowity spadek liczby ataków, lecz przesunięcie aktywności na cele pośrednie, państwa sojusznicze, dostawców usług, organizacje komercyjne lub infrastrukturę krytyczną. W efekcie okres politycznego odprężenia może dla obrońców oznaczać fazę reorganizacji kampanii, a nie realnego uspokojenia sytuacji.

Kontekst / historia

Impulsem do ponownej dyskusji na ten temat stały się napięcia wokół kruchego zawieszenia broni między Stanami Zjednoczonymi a Iranem. Po ogłoszeniu rozejmu część grup powiązanych z irańskim ekosystemem wpływu i cyberoperacji sygnalizowała czasowe ograniczenie działań wymierzonych w USA. Jednocześnie same komunikaty tych podmiotów wskazywały, że cyberwojna funkcjonuje według własnej logiki i nie kończy się automatycznie wraz z pauzą w działaniach militarnych.

Podobne wzorce były widoczne po eskalacji konfliktu Izraela z Hamasem po październiku 2023 roku. Mimo deklaracji o ograniczaniu niektórych kampanii zagrożenie nie zniknęło, lecz ewoluowało. Również doświadczenia z wojny rosyjsko-ukraińskiej pokazują, że okresy względnego osłabienia walk kinetycznych nie muszą oznaczać spadku aktywności w domenie cyfrowej. Przeciwnie, cyberoperacje bywają wtedy wykorzystywane do podtrzymywania nacisku politycznego, psychologicznego i operacyjnego.

W historii można wskazać wyjątki, takie jak okres wokół porozumienia nuklearnego z Iranem w 2015 roku, gdy część analityków odnotowała ograniczenie złośliwej aktywności wobec celów amerykańskich. Nie zmienia to jednak faktu, że dominującym wzorcem pozostaje kontynuacja działań w zmodyfikowanej formie.

Analiza techniczna

Z technicznego punktu widzenia zawieszenie broni nie ogranicza zdolności operacyjnych grup APT, aktorów prowadzących operacje wpływu ani środowisk hacktywistycznych. Kampanie phishingowe, ataki DDoS, włamania do usług internetowych, eksfiltracja danych, defacement, ransomware czy działania rozpoznawcze mogą być prowadzone niezależnie od sytuacji na froncie.

Szczególne znaczenie mają grupy, które komunikacyjnie przedstawiają się jako oddolni aktywiści, lecz realizują cele zgodne z interesami państwa. Taka konstrukcja pozwala utrzymywać presję przy jednoczesnym zachowaniu niejednoznaczności atrybucji. Jeśli jedna grupa publicznie ogłasza wstrzymanie działań, inne podmioty z tego samego ekosystemu mogą przejąć zadania lub zmienić profil aktywności na mniej oczywisty.

W praktyce podczas rozejmu często dochodzi do zmiany wektora ataku i doboru ofiar. Zamiast bezpośredniego uderzenia w główne strony konfliktu, zagrożenie może zostać przekierowane na:

cele drugorzędne i podmioty zależne,
organizacje wspierające jedną ze stron konfliktu,
instytucje publiczne państw sojuszniczych,
dostawców usług i firmy z łańcucha dostaw,
prywatne przedsiębiorstwa o wysokiej rozpoznawalności.

Dla zespołów obronnych oznacza to konieczność obserwowania nie tylko poziomu aktywności, ale również zmian w TTP, narracjach propagandowych, doborze przynęt phishingowych i sposobie publikowania informacji o incydentach. Cyberprzestrzeń pełni w takich okresach rolę asymetrycznego narzędzia nacisku, które może być używane bez formalnego złamania warunków zawieszenia broni.

Konsekwencje / ryzyko

Najważniejszy wniosek dla organizacji jest jednoznaczny: geopolityczny rozejm nie powinien prowadzić do obniżenia gotowości SOC ani ograniczania monitoringu. W niektórych scenariuszach ryzyko może wręcz wzrosnąć, jeśli przeciwnik uzna cyberoperacje za bardziej opłacalny i mniej eskalacyjny kanał projekcji siły.

Do najważniejszych konsekwencji należą:

wzrost ryzyka ataków na podmioty postrzegane jako wspierające jedną ze stron konfliktu,
większa liczba kampanii phishingowych i dezinformacyjnych wykorzystujących bieżące wydarzenia,
nasilenie ataków DDoS o charakterze demonstracyjnym,
wyższe zagrożenie dla infrastruktury krytycznej oraz środowisk OT,
trudniejsza atrybucja incydentów przez użycie grup pośrednich,
większa niepewność analityczna i ryzyko błędnej interpretacji sygnałów strategicznych.

Dodatkowym problemem jest nadmierne zaufanie do publicznych deklaracji grup zagrożeń. Komunikaty o „czasowym wstrzymaniu działań” mogą pełnić funkcję propagandową, negocjacyjną lub maskującą i nie muszą mieć wartości operacyjnej z punktu widzenia obrony.

Rekomendacje

Organizacje powinny utrzymać podwyższony poziom monitorowania niezależnie od komunikatów politycznych i deklaracji aktorów zagrożeń. Kluczowe jest założenie, że rozejm może oznaczać zmianę taktyki przeciwnika, a nie zakończenie kampanii.

Utrzymywać bieżące monitorowanie IOC oraz TTP powiązanych z grupami sponsorowanymi przez państwa i środowiskami hacktywistycznymi.
Zwiększyć czujność wobec phishingu wykorzystującego tematy wojny, sankcji, rozejmów i kryzysów dyplomatycznych.
Przeprowadzić przegląd ekspozycji usług publicznych, w tym VPN, portali uwierzytelniania, OWA, paneli administracyjnych i aplikacji SaaS.
Przygotować scenariusze reagowania na DDoS, defacement, wycieki danych oraz operacje wpływu.
Zweryfikować segmentację sieci i poziom ochrony systemów OT oraz elementów infrastruktury krytycznej.
Utrzymywać aktualne kopie zapasowe, testy odtwarzania oraz playbooki IR dla incydentów destrukcyjnych i ransomware.
Łączyć monitoring techniczny z analizą geopolityczną i danymi threat intelligence.
Szkolić użytkowników końcowych w rozpoznawaniu wiadomości wykorzystujących bieżące wydarzenia polityczne.

Dla zespołów threat intelligence szczególnie ważne jest odróżnienie realnego spadku aktywności od jedynie zmienionego profilu kampanii. Warto też monitorować podmioty pośrednie i państwa trzecie, które mogą stać się celem zastępczym.

Podsumowanie

Historia konfliktów pokazuje, że zawieszenie broni rzadko prowadzi do pełnego zatrzymania cyberataków. Znacznie częściej dochodzi do przesunięcia aktywności, zmiany celów oraz utrzymania presji poprzez działania asymetryczne. Dla obrońców oznacza to konieczność zachowania wysokiej gotowości i unikania założenia, że polityczny rozejm automatycznie przekłada się na cyfrowe uspokojenie sytuacji.

Cyberprzestrzeń działa według innej logiki niż pole walki. Dlatego najbardziej bezpiecznym założeniem dla organizacji pozostaje traktowanie zawieszenia broni jako potencjalnego momentu reorganizacji działań przeciwnika, a nie jako sygnału do obniżenia czujności.

Źródła

Do Ceasefires Slow Cyberattacks? History Suggests Not — https://www.darkreading.com/cybersecurity-analytics/ceasefires-slow-cyberattacks-history
Proofpoint: Hamas Cyber Actors Use Ceasefire-Themed Lures in Middle East Campaigns — https://www.proofpoint.com/
CSIS: Analysis of Cyber Operations in the Russia-Ukraine Conflict — https://www.csis.org/
The New York Times: Iranian Hacking Activity and Nuclear Negotiations — https://www.nytimes.com/
Wired: Cyber Activity Trends After the Iran Nuclear Deal — https://www.wired.com/

Fancy Bear nadal prowadzi globalne operacje cyberwywiadowcze i sabotażowe

Wprowadzenie do problemu / definicja

Fancy Bear, znana również jako APT28, Sofacy, Pawn Storm czy Forest Blizzard, pozostaje jedną z najbardziej rozpoznawalnych grup zagrożeń powiązanych z rosyjskim wywiadem wojskowym GRU. Najnowsze analizy pokazują, że ugrupowanie nie ogranicza się do pojedynczych kampanii, lecz prowadzi długofalowe operacje wymierzone w administrację publiczną, sektor obronny, infrastrukturę krytyczną oraz organizacje należące do łańcuchów dostaw.

Skala aktywności tej grupy wskazuje, że mamy do czynienia z trwałą i adaptacyjną ofensywą cybernetyczną. Ataki łączą klasyczne techniki socjotechniczne z nowoczesnym wykorzystaniem podatności, przejmowaniem poświadczeń oraz nadużywaniem urządzeń sieciowych.

W skrócie

Fancy Bear pozostaje aktywnym aktorem państwowym, który skutecznie łączy phishing, eksploatację luk bezpieczeństwa, kradzież danych uwierzytelniających i operacje z użyciem skompromitowanych routerów. Ostatnie raporty wskazują szczególnie na kampanie wykorzystujące zestaw malware Prismex oraz techniki relay NTLMv2 i przechwytywania poświadczeń.

Grupa celuje w podmioty rządowe, wojskowe i strategiczne.
Wykorzystuje zarówno nowe podatności, jak i znane, lecz nadal niezałatane luki.
Łączy cyberwywiad z możliwościami sabotażowymi, w tym z funkcjami typu wiper.
Nadużywa routerów i infrastruktury DNS do przechwytywania ruchu i poświadczeń.

Kontekst / historia

APT28 działa co najmniej od połowy lat 2000 i od lat pozostaje kojarzona z operacjami wymierzonymi w cele rządowe, wojskowe i polityczne. W przeszłości grupa była wiązana z kampaniami phishingowymi, kradzieżą poświadczeń, wykorzystaniem podatności typu zero-day oraz działaniami wspierającymi szersze cele geopolityczne Rosji.

W ostatnim czasie grupa ponownie znalazła się w centrum uwagi po serii publikacji analitycznych i ostrzeżeń instytucji rządowych. Szczególne znaczenie ma aktywność ukierunkowana na kraje Europy Środkowo-Wschodniej oraz środowiska powiązane z bezpieczeństwem regionalnym i wsparciem dla Ukrainy. Taki profil ofiar potwierdza, że celem operacji jest nie tylko pozyskanie informacji, ale także budowanie długoterminowej przewagi operacyjnej.

Analiza techniczna

Jednym z najważniejszych elementów ostatnich kampanii jest wykorzystanie zestawu narzędzi określanego jako Prismex. Malware ten miał wykorzystywać wiele podatności w systemie Windows i pakiecie Microsoft Office, łącząc techniki steganografii, przejęcia komponentów COM oraz komunikację z infrastrukturą dowodzenia przez legalne usługi chmurowe. Taki model utrudnia wykrycie, ponieważ część ruchu może przypominać zwykłą aktywność użytkownika lub administratora.

Istotne jest także to, że Prismex nie pełni wyłącznie funkcji wywiadowczych. Analizy wskazują, że narzędzie może zawierać komendy wspierające działania destrukcyjne, w tym wycieranie danych. Oznacza to, że pozornie klasyczna kompromitacja może w praktyce przygotowywać grunt pod późniejszy sabotaż.

Drugim istotnym wektorem są ataki relay NTLMv2 oraz przechwytywanie hashy uwierzytelniających. W tym scenariuszu napastnicy wykorzystywali podatność CVE-2023-23397 w Microsoft Outlook, dzięki której ofiara mogła nieświadomie zainicjować połączenie do kontrolowanego przez atakującego serwera SMB. To pozwalało na pozyskanie Net-NTLMv2 hash i dalsze próby uwierzytelnienia w innych systemach bez znajomości hasła w postaci jawnej.

Dodatkowo operatorzy Fancy Bear mieli wykorzystywać skompromitowane routery, zwłaszcza urządzenia SOHO, do przejmowania ustawień DNS i prowadzenia operacji pośredniczących. Taki mechanizm umożliwia przekierowywanie ofiar do kontrolowanej infrastruktury, zbieranie poświadczeń, przechwytywanie tokenów oraz realizację ataków typu adversary-in-the-middle. W praktyce jest to połączenie kompromitacji warstwy sieciowej i ataku na tożsamość, co znacząco zwiększa skuteczność obejścia tradycyjnych zabezpieczeń.

Warto podkreślić, że skuteczność grupy nie wynika wyłącznie z użycia zaawansowanych exploitów. Fancy Bear stale korzysta także z metod dobrze znanych obrońcom, takich jak phishing, słabe hasła, nieaktualne oprogramowanie, błędne konfiguracje oraz starsze protokoły uwierzytelniania. To właśnie umiejętne łączenie prostszych i bardziej zaawansowanych technik pozostaje jedną z największych sił tego ugrupowania.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem aktywności Fancy Bear jest połączenie ryzyka wywiadowczego i destrukcyjnego. Organizacje mogą utracić poufne informacje strategiczne, dane operacyjne, korespondencję kierownictwa, dostęp do systemów pocztowych oraz zasobów katalogowych. W sektorach o znaczeniu strategicznym przekłada się to bezpośrednio na bezpieczeństwo państwa, ciągłość działania i odporność łańcucha dostaw.

Zagrożone są nie tylko duże instytucje. Mniejsze organizacje, samorządy oraz firmy usługowe mogą zostać wykorzystane jako punkt pośredni do dalszych ataków. W praktyce oznacza to, że nawet podmioty spoza pierwszej linii geopolitycznego konfliktu mogą zostać wciągnięte w operacje APT jako źródło danych lub kanał dostępu do bardziej wartościowych celów.

Szczególnie wysokie ryzyko dotyczy warstwy tożsamości i urządzeń sieciowych. Przejęcie poświadczeń, sesji lub tokenów często pozwala ominąć klasyczne zabezpieczenia. Z kolei kompromitacja routerów i DNS bywa trudna do zauważenia, ponieważ wiele organizacji skupia monitoring na stacjach roboczych i serwerach, pomijając małe urządzenia brzegowe.

Rekomendacje

Podstawowym działaniem ochronnym pozostaje sprawne zarządzanie podatnościami. Organizacje powinny priorytetowo wdrażać poprawki dla systemów Windows, Office, Outlook oraz firmware’u routerów i innych urządzeń brzegowych. Równie ważne jest ograniczanie użycia starszych protokołów uwierzytelniania oraz monitorowanie wszelkich prób nadużyć związanych z NTLM.

Kolejnym filarem obrony jest ochrona tożsamości. W praktyce oznacza to wymuszenie MFA dla poczty, VPN, dostępu administracyjnego i usług chmurowych, wdrożenie zasady najmniejszych uprawnień, ograniczenie trwałych uprawnień administracyjnych oraz stosowanie założeń architektury zero trust.

Istotne jest również objęcie routerów i urządzeń sieciowych pełnym procesem bezpieczeństwa. Należy prowadzić ich inwentaryzację, regularnie aktualizować oprogramowanie, zmieniać domyślne hasła, wyłączać zbędne usługi zdalnego zarządzania, kontrolować konfigurację DNS i analizować logi administracyjne.

Po stronie detekcji kluczowe jest korelowanie sygnałów z wielu warstw środowiska. Szczególną uwagę warto zwracać na nietypowe połączenia SMB, próby relay NTLM, zmiany konfiguracji DNS, ostrzeżenia o błędach certyfikatów, nietypowe logowania oraz użycie rzadko spotykanych ścieżek uwierzytelniania.

Priorytetowe łatanie systemów i urządzeń brzegowych.
Wyłączenie lub ograniczenie NTLM tam, gdzie to możliwe.
Wdrożenie MFA i segmentacji dostępu uprzywilejowanego.
Stały monitoring zmian DNS i konfiguracji routerów.
Szkolenia użytkowników z phishingu i podejrzanych zaproszeń kalendarzowych.

Podsumowanie

Fancy Bear pozostaje jednym z najgroźniejszych aktorów państwowych w cyberprzestrzeni. Najnowsze kampanie pokazują, że grupa nadal skutecznie łączy eksploatację podatności, kradzież poświadczeń, nadużycia infrastruktury sieciowej i zdolności sabotażowe.

Dla obrońców najważniejszy wniosek jest jednoznaczny: skuteczna ochrona przed APT28 nie wymaga wyłącznie zaawansowanych narzędzi, ale przede wszystkim konsekwentnego usuwania podstawowych słabości. Terminowe aktualizacje, silna ochrona tożsamości, zabezpieczenie routerów i podejście zero trust powinny dziś stanowić minimalny standard bezpieczeństwa.

Źródła

https://www.darkreading.com/threat-intelligence/russias-fancy-bear-apt-continues-global-onslaught
https://www.ncsc.gov.uk/news/uk-exposes-russian-military-intelligence-hijacking-vulnerable-routers-for-cyber-attacks
https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations
https://www.ic3.gov/PSA/2026/PSA260320
https://documents.trendmicro.com/assets/rpt/rpt_a_rising_tide.pdf

Prawie 4 tys. urządzeń przemysłowych w USA narażonych na irańskie cyberataki

Wprowadzenie do problemu / definicja

Amerykańskie agencje rządowe ostrzegły przed aktywną kampanią wymierzoną w publicznie dostępne sterowniki PLC wykorzystywane w infrastrukturze krytycznej. Szczególnie zagrożone są urządzenia Rockwell Automation i Allen-Bradley wystawione bezpośrednio do Internetu, co czyni je łatwym celem dla grup powiązanych z Iranem. Problem wpisuje się w szerszy trend ataków na środowiska OT i ICS, gdzie pojedyncza podatność konfiguracyjna może przełożyć się nie tylko na incydent informatyczny, ale również na zakłócenia procesów fizycznych.

W skrócie

Od marca 2026 roku obserwowane są działania ukierunkowane na internetowo dostępne sterowniki PLC w amerykańskich organizacjach infrastruktury krytycznej. Według dostępnych ustaleń kampania może prowadzić do zakłóceń operacyjnych oraz strat finansowych.

Globalnie zidentyfikowano ponad 5,2 tys. hostów odpowiadających jako urządzenia Rockwell/Allen-Bradley.
Około 3 891 z nich znajdowało się w Stanach Zjednoczonych.
Część systemów działa w segmentach terenowych i może być połączona przez modemy komórkowe.
Atakujący mieli pozyskiwać pliki projektowe i manipulować danymi prezentowanymi w interfejsach operatorskich.

Kontekst / historia

Ataki na środowiska OT powiązane z Iranem nie są nowym zjawiskiem. Obecna kampania stanowi kontynuację wcześniejszego wzorca działań, w którym celem są systemy sterowania przemysłowego wystawione do Internetu lub niewłaściwie segmentowane. W poprzednich incydentach przypisywanych podmiotom związanym z irańskim IRGC celem były między innymi urządzenia Unitronics używane w sektorach wodno-kanalizacyjnych oraz innych obszarach infrastruktury krytycznej.

Obecna fala ostrzeżeń pokazuje, że przeciwnik konsekwentnie wykorzystuje tę samą klasę problemów: bezpośrednią ekspozycję systemów OT, niewystarczające uwierzytelnianie oraz ograniczoną separację pomiędzy siecią przemysłową a Internetem.

Analiza techniczna

W opisywanej kampanii celem są sterowniki PLC obsługujące protokoły przemysłowe, w tym EtherNet/IP. Dla atakującego internetowo dostępny sterownik jest szczególnie wartościowy, ponieważ może ujawniać metadane urządzenia, konfigurację projektu, status komunikacji oraz informacje potrzebne do dalszej interakcji z procesem technologicznym.

Z technicznego punktu widzenia szczególnie groźne jest pozyskanie plików projektowych urządzeń oraz manipulowanie danymi wyświetlanymi w HMI i SCADA. Przejęcie project file może dostarczyć wiedzy o logice sterowania, tagach, nazwach zmiennych, konfiguracji wejść i wyjść oraz zależnościach procesowych. Z kolei zmiana danych widocznych na ekranach operatorskich może utrudniać ocenę stanu instalacji i opóźniać reakcję personelu na incydent.

Dodatkowym czynnikiem ryzyka jest sposób podłączenia części urządzeń. Znaczna liczba systemów działa w sieciach operatorów komórkowych, co może wskazywać na wykorzystanie modemów LTE lub 5G do zdalnej obsługi urządzeń terenowych. W praktyce oznacza to, że sterownik może funkcjonować poza dobrze chronioną infrastrukturą centralną, a jednocześnie pozostawać osiągalny z Internetu bez odpowiedniej filtracji ruchu, VPN czy silnego uwierzytelniania.

W środowisku OT problemem nie jest wyłącznie otwarty port. Ryzyko rośnie, gdy nakładają się na siebie wieloletnia eksploatacja bez zmian konfiguracyjnych, ograniczony monitoring ruchu przemysłowego, obecność słabych mechanizmów autoryzacji oraz trudności z szybkim wdrażaniem aktualizacji firmware’u.

Konsekwencje / ryzyko

Ryzyko dla organizacji ma charakter wielowarstwowy. Na poziomie operacyjnym skutkiem może być przerwanie procesu, błędne wskazania operatorskie, wymuszone zatrzymanie linii lub pogorszenie jakości procesu technologicznego. Na poziomie biznesowym oznacza to przestoje, koszty przywrócenia działania, utratę przychodów i konsekwencje kontraktowe. W sektorach infrastruktury krytycznej dochodzi do tego zagrożenie dla ciągłości usług publicznych.

Istotny jest również aspekt przygotowawczy ataku. Kradzież konfiguracji i plików projektowych pozwala przeciwnikowi lepiej zaplanować kolejne etapy operacji, w tym sabotaż, manipulację logiką sterowania lub działania ukierunkowane na konkretne obiekty. Nawet jeśli pierwszy etap nie doprowadzi do awarii, zdobyta wiedza zwiększa prawdopodobieństwo skuteczniejszego ataku w przyszłości.

Zagrożenie nie dotyczy wyłącznie dużych operatorów infrastruktury krytycznej. W praktyce narażone są również mniejsze zakłady przemysłowe, integratorzy OT, obiekty terenowe oraz organizacje korzystające ze zdalnego dostępu do utrzymania ruchu. To właśnie takie środowiska często dysponują najmniej dojrzałymi mechanizmami wykrywania incydentów.

Rekomendacje

Podstawowym krokiem powinno być natychmiastowe zidentyfikowanie wszystkich sterowników PLC i komponentów OT dostępnych z Internetu. Urządzenia, które nie muszą być publicznie osiągalne, należy odłączyć od sieci publicznej. Jeśli zdalny dostęp jest konieczny, powinien być realizowany wyłącznie przez kontrolowane bramy, zapory sieciowe, VPN oraz właściwą segmentację.

Przeprowadzić pełną inwentaryzację internetowo dostępnych zasobów OT.
Wdrożyć wieloskładnikowe uwierzytelnianie dla dostępu administracyjnego i zdalnego.
Wyłączyć nieużywane usługi, interfejsy i domyślne konta techniczne.
Monitorować logi i ruch sieciowy pod kątem anomalii w protokołach przemysłowych.
Zweryfikować wersje firmware’u, kopie konfiguracji i procedury odtworzeniowe.
Regularnie testować scenariusze przywracania sterowników oraz HMI/SCADA po incydencie.

Z perspektywy strategicznej organizacje powinny rozwijać model zero trust dla zdalnego dostępu do OT, klasyfikować krytyczność urządzeń oraz integrować telemetrię przemysłową z procesami SOC. W środowiskach infrastruktury krytycznej kluczowa pozostaje ścisła współpraca zespołów IT, OT, utrzymania ruchu i bezpieczeństwa.

Podsumowanie

Obecna kampania pokazuje, że publicznie dostępne sterowniki PLC pozostają jednym z najgroźniejszych punktów styku między cyberprzestrzenią a procesami przemysłowymi. Skala ekspozycji w USA, obejmująca blisko 4 tys. urządzeń, potwierdza systemowy charakter problemu. Działania przypisywane podmiotom powiązanym z Iranem pokazują również, że przeciwnicy coraz skuteczniej łączą rekonesans, pozyskiwanie konfiguracji i manipulację interfejsami operatorskimi. Dla obrońców oznacza to konieczność priorytetowego zabezpieczenia wszystkich publicznie dostępnych systemów OT.

Źródła

BleepingComputer – Nearly 4,000 US industrial devices exposed to Iranian cyberattacks — https://www.bleepingcomputer.com/news/security/nearly-4-000-us-industrial-devices-exposed-to-iranian-cyberattacks/
BleepingComputer – US warns of Iranian hackers targeting critical infrastructure — https://www.bleepingcomputer.com/news/security/us-warns-of-iranian-hackers-targeting-critical-infrastructure/
Censys – Iranian-Affiliated APT Targeting of Rockwell/Allen-Bradley PLCs — https://censys.com/blog/iranian-affiliated-apt-targeting-rockwell-allen-bradley-plcs/
IC3/FBI – Iranian-affiliated APT actors targeting internet-exposed PLCs — https://www.ic3.gov/CSA/2026/260407
CISA – CyberAv3ngers targets Unitronics PLCs — https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-335a

Forest Blizzard przejmuje routery SOHO i przechwytuje logowania poprzez manipulację DNS

Wprowadzenie do problemu / definicja

Grupa Forest Blizzard, znana również jako APT28, prowadzi kampanie cyberszpiegowskie, w których punktem wejścia nie są już wyłącznie stacje robocze czy serwery, ale także urządzenia brzegowe. Najnowsze ustalenia pokazują, że kompromitacja routerów SOHO oraz zmiana ich konfiguracji DNS mogą umożliwić przechwytywanie poświadczeń, obserwację ruchu sieciowego i realizację ataków typu adversary-in-the-middle bez instalowania klasycznego malware na komputerach ofiar.

To podejście jest szczególnie niebezpieczne, ponieważ wiele organizacji nadal traktuje małe routery biurowe i urządzenia dostępu zdalnego jako elementy infrastruktury o niskim priorytecie bezpieczeństwa. W praktyce właśnie one mogą stać się skutecznym narzędziem do długotrwałej infiltracji i kradzieży danych.

W skrócie

Według ujawnionych analiz napastnicy wykorzystywali znane, starsze podatności w routerach SOHO i wybranych zaporach sieciowych, aby uzyskać dostęp administracyjny do urządzeń. Następnie modyfikowali ustawienia DNS i kierowali ruch ofiar przez kontrolowaną infrastrukturę VPS.

celem były m.in. routery MikroTik i TP-Link oraz wybrane rozwiązania Nethesis i Fortinet,
atak umożliwiał przechwytywanie loginów i haseł do usług webowych oraz poczty,
kampania miała charakter niemal bezmalware’owy, co utrudniało jej wykrycie,
zidentyfikowano tysiące urządzeń i szeroki zasięg geograficzny operacji.

Kontekst / historia

Forest Blizzard od lat jest kojarzona z operacjami wywiadowczymi wymierzonymi w administrację publiczną, dyplomację, sektor obronny i organizacje o wysokiej wartości strategicznej. Grupa konsekwentnie rozwija techniki pozyskiwania dostępu do kont pocztowych, usług chmurowych i systemów komunikacji, a jej działania wielokrotnie łączono z rosyjskim wywiadem wojskowym.

W opisywanej kampanii uwagę zwraca przesunięcie ciężaru ataku z endpointów na urządzenia perymetryczne. Routery i małe firewalle często działają latami bez aktualizacji, mają ograniczone logowanie zdarzeń i pozostają poza stałym monitoringiem SOC. To sprawia, że są atrakcyjnym celem dla zaawansowanych grup APT.

Ataki na warstwę infrastrukturalną, w tym DNS i urządzenia edge, wpisują się w szerszy trend obserwowany w ostatnich latach. Z perspektywy napastnika kompromitacja routera daje uprzywilejowaną pozycję wobec całego ruchu wychodzącego z organizacji lub zdalnej lokalizacji.

Analiza techniczna

Rdzeń kampanii był technicznie stosunkowo prosty, ale bardzo skuteczny. Operatorzy wykorzystywali publicznie znane luki umożliwiające uzyskanie dostępu do paneli administracyjnych urządzeń. Jednym z przywoływanych przykładów był błąd CVE-2023-50224 dotyczący urządzeń TP-Link, pozwalający na ujawnienie informacji bez uwierzytelnienia.

Po przejęciu kontroli nad routerem atakujący zmieniali konfigurację DNS. W efekcie zapytania o rozwiązywanie nazw domen mogły trafiać do infrastruktury kontrolowanej przez przeciwnika. To otwierało drogę do przekierowywania ruchu przez serwery pośredniczące i prowadzenia ataków adversary-in-the-middle.

W takim modelu napastnicy mogli przechwytywać loginy i hasła do usług webowych, zbierać tokeny sesyjne, analizować wzorce komunikacji organizacji i utrzymywać trwały dostęp przy minimalnej widoczności po stronie narzędzi ochronnych. Ponieważ główna aktywność odbywała się na routerze i w warstwie DNS, systemy EDR zainstalowane na stacjach roboczych mogły nie wykazać żadnych jednoznacznych oznak incydentu.

To właśnie brak klasycznego malware na endpointach czyni tę technikę tak niebezpieczną. W wielu środowiskach jedynym śladem kompromitacji mogą być nieautoryzowane zmiany serwerów DNS, nietypowe przekierowania ruchu lub połączenia do podejrzanej infrastruktury VPS.

Konsekwencje / ryzyko

Skutki przejęcia routera brzegowego mogą być bardzo poważne. Tego rodzaju urządzenie znajduje się na ścieżce komunikacji użytkowników, co daje atakującemu możliwość wpływania na ruch sieciowy bez bezpośredniego naruszania hostów końcowych.

kradzież danych uwierzytelniających do poczty, VPN i aplikacji SaaS,
przejęcie kont użytkowników i dalszy ruch boczny w środowisku,
podsłuchiwanie lub profilowanie komunikacji organizacyjnej,
obejście tradycyjnych mechanizmów detekcji skupionych na endpointach,
długotrwała obecność przeciwnika przy ograniczonych artefaktach forensic.

Szczególnie narażone pozostają organizacje korzystające ze starszych urządzeń, sprzętu niewspieranego przez producenta, domyślnych ustawień administracyjnych oraz zdalnego zarządzania wystawionego bezpośrednio do Internetu. Ryzyko rośnie również w środowiskach rozproszonych, w których nie ma centralnego nadzoru nad konfiguracją urządzeń w oddziałach i lokalizacjach pracy zdalnej.

Rekomendacje

Obrona przed tego typu kampaniami wymaga traktowania routerów SOHO, firewalli i innych urządzeń edge jako pełnoprawnych elementów powierzchni ataku. Organizacje powinny wdrożyć zestaw działań technicznych i organizacyjnych ograniczających możliwość przejęcia infrastruktury brzegowej.

przeprowadzić pełną inwentaryzację routerów, firewalli i urządzeń dostępowych,
aktualizować firmware i wycofywać sprzęt niewspierany lub podatny na znane luki,
regularnie weryfikować konfigurację DNS na routerach i hostach końcowych,
wyłączyć zdalne zarządzanie z Internetu, jeśli nie jest absolutnie konieczne,
ograniczyć dostęp administracyjny za pomocą ACL, VPN i MFA,
monitorować logi pod kątem nietypowych serwerów DNS i podejrzanych połączeń do VPS,
rotować hasła i unieważniać sesje kont potencjalnie narażonych na przechwycenie,
rozszerzyć detekcję o warstwę sieciową, tożsamości i usługi chmurowe,
segmentować sieć i ograniczać zaufanie do lokalnych urządzeń dostępowych,
stosować rozwiązania klasy enterprise tam, gdzie przetwarzane są dane wrażliwe.

Dobrą praktyką jest także cykliczna kontrola ustawień DNS oraz parametrów administracyjnych urządzeń perymetrycznych. W takich incydentach właśnie zmiany konfiguracyjne bywają najważniejszym wskaźnikiem kompromitacji.

Podsumowanie

Kampania przypisywana Forest Blizzard pokazuje, że skuteczna operacja cyberszpiegowska nie musi opierać się na zero-dayach ani rozbudowanym malware. Wystarczy połączenie znanych podatności, słabo zarządzanych routerów SOHO i manipulacji DNS, aby zdobyć cenne poświadczenia oraz dostęp do ruchu organizacyjnego.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że ochrona urządzeń brzegowych i integralności usług DNS powinna być traktowana jako priorytet strategiczny. W przeciwnym razie przeciwnik może uzyskać szeroki wgląd w komunikację organizacji bez uruchamiania alarmów charakterystycznych dla klasycznych infekcji endpointów.

Źródła

Fancy Bear nasila globalne operacje cybernetyczne. APT28 łączy PRISMEX, phishing i przejęcia routerów

Wprowadzenie do problemu / definicja

APT28, znana również jako Fancy Bear, Forest Blizzard lub Pawn Storm, pozostaje jedną z najbardziej rozpoznawalnych grup cyberszpiegowskich powiązanych z rosyjskim wywiadem wojskowym. Najnowsze kampanie pokazują, że ugrupowanie nadal prowadzi szeroko zakrojone operacje przeciwko administracji publicznej, sektorowi obronnemu, infrastrukturze krytycznej oraz organizacjom wspierającym Ukrainę i państwa sojusznicze.

Na szczególną uwagę zasługuje fakt, że APT28 nie opiera swoich działań wyłącznie na zaawansowanych exploitach. Grupa skutecznie łączy nowe komponenty malware, techniki obejścia zabezpieczeń i klasyczne metody, takie jak spear phishing, kradzież poświadczeń czy nadużycia słabiej chronionych urządzeń sieciowych.

W skrócie

Fancy Bear kontynuuje globalne działania ofensywne wymierzone w cele rządowe, wojskowe i strategiczne.
W ostatnich kampaniach wykorzystywano zestaw malware PRISMEX, ataki na poświadczenia NTLMv2 oraz podatności w Microsoft Outlook i środowisku Windows.
Istotnym elementem operacji stały się również przejęcia routerów SOHO i scenariusze DNS hijacking.
Skuteczność grupy wynika z połączenia zaawansowanych narzędzi z dobrze znanymi, nadal efektywnymi technikami ataku.

Kontekst / historia

APT28 od lat jest kojarzona z operacjami cyberszpiegowskimi i działaniami zgodnymi z interesami geopolitycznymi Federacji Rosyjskiej. Grupa funkcjonuje co najmniej od połowy pierwszej dekady XXI wieku i była wielokrotnie łączona z atakami na instytucje rządowe, wojsko, organizacje międzynarodowe, sektor obronny oraz podmioty infrastruktury krytycznej.

Obecna fala aktywności potwierdza trwałość i zdolność adaptacji tego aktora. Z jednej strony obserwowane są nowe łańcuchy infekcji oraz malware wspierające szpiegostwo i potencjalny sabotaż. Z drugiej strony APT28 nadal skutecznie wykorzystuje klasyczne wektory wejścia, takie jak phishing, przejęcia poświadczeń, utrzymywanie starszych mechanizmów uwierzytelniania czy kompromitacja brzegowych urządzeń sieciowych.

Taka strategia sprawia, że zagrożone pozostają nie tylko największe instytucje państwowe. Ryzyko dotyczy również mniejszych organizacji, które mogą stanowić pośredni cel w łańcuchu dostaw i zostać wykorzystane do dotarcia do bardziej wartościowych zasobów.

Analiza techniczna

Jednym z kluczowych elementów ostatnich ustaleń jest kampania oparta na zestawie PRISMEX. Narzędzie to powiązano z atakami wymierzonymi w podmioty związane z obronnością Ukrainy oraz państw wspierających w Europie Środkowo-Wschodniej i w regionie NATO. Technicznie kampania obejmuje wieloetapowy łańcuch infekcji, łączący uruchamianie złośliwego kodu, obchodzenie zabezpieczeń, nadużycia komponentów COM oraz komunikację przez legalne usługi chmurowe wykorzystywane jako kanały C2.

Takie podejście znacząco utrudnia detekcję. Część ruchu sieciowego i artefaktów może wyglądać jak zwykła aktywność systemowa lub biznesowa, co pozwala napastnikom dłużej pozostawać niezauważonymi w środowisku ofiary. Dodatkowo PRISMEX nie ogranicza się wyłącznie do rozpoznania i eksfiltracji danych. W analizach wskazano również komponenty o charakterze sabotażowym, w tym polecenia mogące pełnić funkcję wipera.

Drugim ważnym obszarem aktywności były ataki relay związane z poświadczeniami NTLMv2. W scenariuszu tym wykorzystywano podatność Outlooka CVE-2023-23397. Odpowiednio spreparowane wiadomości lub pliki kalendarza mogły inicjować połączenie z serwerem SMB kontrolowanym przez napastnika, co umożliwiało pozyskanie wartości Net-NTLMv2 i ich dalsze użycie wobec systemów akceptujących NTLM. To szczególnie niebezpieczne w organizacjach, które nadal utrzymują starsze modele uwierzytelniania.

Uzupełnieniem tych operacji były kampanie phishingowe, kradzież poświadczeń oraz wykorzystanie infrastruktury maskującej, takiej jak VPN, Tor, adresy centrów danych i przejęte routery. Takie warstwowe podejście pokazuje, że APT28 nie opiera się na jednej technice, lecz elastycznie dobiera metody do charakteru celu i spodziewanego efektu operacyjnego.

Szczególnie istotny jest wątek kompromitacji routerów SOHO. Z opublikowanych ostrzeżeń wynika, że operatorzy Fancy Bear przejmowali podatne urządzenia brzegowe i modyfikowali ich ustawienia DNS oraz DHCP. Umożliwiało to przekierowywanie ruchu ofiar przez infrastrukturę kontrolowaną przez atakujących, realizację scenariuszy DNS hijacking oraz ataki typu adversary-in-the-middle. W praktyce oznacza to możliwość przechwytywania poświadczeń, tokenów sesyjnych oraz manipulowania ruchem do usług webowych i pocztowych.

Konsekwencje / ryzyko

Najważniejszy wniosek z obecnych kampanii jest prosty: do skutecznego działania APT28 nie są potrzebne wyłącznie najbardziej zaawansowane luki typu zero-day. Równie groźne okazują się zaniedbania w podstawowej higienie bezpieczeństwa, takie jak niezałatane systemy, brak wieloskładnikowego uwierzytelniania, utrzymywanie NTLM, słabe hasła administracyjne czy niewystarczająca segmentacja dostępu.

Ryzyko dla organizacji ma charakter wielowymiarowy. Po pierwsze, istnieje zagrożenie klasycznym cyberszpiegostwem, czyli kradzieżą dokumentacji, planów logistycznych, danych operacyjnych i informacji o łańcuchu dostaw. Po drugie, w środowiskach o wysokim znaczeniu strategicznym należy liczyć się z możliwością działań zakłócających, w tym niszczenia danych lub przygotowania gruntu pod późniejsze operacje destrukcyjne. Po trzecie, przejęcie urządzeń SOHO rozszerza powierzchnię ataku na pracę zdalną i infrastrukturę znajdującą się poza centralnie zarządzaną siecią korporacyjną.

Warto też podkreślić, że celem nie muszą być wyłącznie największe instytucje. Mniejsze firmy, lokalna administracja czy partnerzy technologiczni również mogą zostać wykorzystani jako słabsze ogniwa prowadzące do właściwego celu. To klasyczny model ataku na łańcuch dostaw, który pozostaje wyjątkowo skuteczny wobec rozproszonych ekosystemów współpracy.

Rekomendacje

Organizacje powinny potraktować opisane kampanie jako wyraźny sygnał do przeglądu zarówno podstawowych, jak i bardziej zaawansowanych mechanizmów ochrony. W pierwszej kolejności konieczne jest szybkie wdrażanie poprawek bezpieczeństwa dla systemów Windows, Microsoft Office, Outlooka oraz urządzeń sieciowych, w tym routerów wykorzystywanych w pracy zdalnej i małych oddziałach.

Regularnie aktualizować systemy operacyjne, aplikacje biurowe i firmware urządzeń brzegowych.
Usunąć domyślne poświadczenia na routerach oraz kontrolować zmiany ustawień DNS i DHCP.
Wymusić MFA dla dostępu do usług krytycznych i administracyjnych.
Ograniczać lub wyłączać NTLM tam, gdzie to możliwe, oraz wdrażać zasadę najmniejszych uprawnień.
Segmentować sieć i ograniczać zaufanie do urządzeń spoza środowiska zarządzanego.
Monitorować nietypowe połączenia SMB, anomalie DNS, użycie usług chmurowych jako potencjalnych kanałów C2 oraz zmiany konfiguracji routerów.
Prowadzić szkolenia z rozpoznawania spear phishingu i innych technik socjotechnicznych.

Mniejsze organizacje powinny dodatkowo rozważyć wsparcie zewnętrzne, takie jak usługi MDR, współpracę z branżowymi centrami wymiany informacji o zagrożeniach oraz integrację z krajowymi strukturami reagowania. W przypadku działań prowadzonych przez zaawansowanego aktora państwowego szybka detekcja i odpowiedź mają kluczowe znaczenie.

Podsumowanie

Najnowsze kampanie Fancy Bear potwierdzają, że siła tej grupy nie wynika wyłącznie z dostępu do zaawansowanych narzędzi, lecz przede wszystkim z umiejętnego łączenia klasycznych technik z nowoczesnym malware i elastyczną infrastrukturą operacyjną. PRISMEX, ataki na NTLMv2, nadużycia podatności Outlooka oraz kompromitacja routerów SOHO tworzą obraz przeciwnika, który skutecznie działa zarówno na poziomie endpointów, jak i warstwy sieciowej.

Dla obrońców najważniejszy wniosek jest praktyczny: szybkie łatanie systemów, silna kontrola tożsamości, segmentacja sieci oraz konsekwentne wdrażanie zasad zero trust pozostają najskuteczniejszą odpowiedzią na działania APT28. W starciu z takim przeciwnikiem przewagę daje nie spektakularna technologia, lecz dobrze realizowane podstawy bezpieczeństwa.