Pomagamy Zrozumieć i Wdrażać Bezpieczeństwo
W świecie Dockera często mówimy o obrazach i kontenerach, ale rzadziej zastanawiamy się nad systemem bazowym, na którym te kontenery są oparte. A to poważny błąd – „base image” to fundament naszego kontenera. Jeśli jest słaby lub popękany od znanych podatności, cała aplikacja może być zagrożona.
Czytaj dalej „Systemy Bazowe Dla Kontenerów Docker – Analiza Bezpieczeństwa”
9 grudnia 2025 r. amerykański Departament Sprawiedliwości (DOJ) i CISA wraz z innymi agencjami opublikowały wspólne ostrzeżenie dotyczące kampanii prorosyjskich „hacktywistów” uderzających w systemy OT/ICS w sektorach wody i ścieków, energii oraz żywności. Ataki wykorzystują przede wszystkim słabo zabezpieczone, wystawione do internetu połączenia VNC do paneli HMI, co umożliwia zdalne manipulowanie procesami technologicznymi i wywoływanie efektów fizycznych.
Wraz z eskalacją wojny Rosji przeciw Ukrainie (2022) wzrosła liczba prorosyjskich grup, które zaczęły łączyć DDoS z ingerencjami w OT. W 2024 r. administratorzy CARR i NoName zainicjowali Z-Pentest, deklarując specjalizację w intruzjach OT i porzucając DDoS na rzecz „głośniejszych” włamań do HMI. W 2025 r. pojawiła się także Sector16 współpracująca z Z-Pentest.
Równolegle trwa presja prawna i „kinetyczna”: w lipcu 2025 r. operacja międzynarodowa Eastwood (Europol/Eurojust) uderzyła w infrastrukturę NoName057(16), a 9 grudnia 2025 r. DOJ ogłosił dwa akty oskarżenia wobec obywatelki Ukrainy powiązanej z CARR i NoName.
Wcześniej (19 lipca 2024 r.) OFAC nałożył sankcje na liderkę CARR Julię Pankratovą i kluczowego hakera Denisa Degtiarenkę.
Wspólna porada CISA/NSA/FBI/EPA/DOE/DISA identyfikuje powtarzalny, tani łańcuch działań (TTP), nastawiony na oportunistyczne cele:
Autorzy wskazują, że sprawcy często nie rozumieją w pełni procesów przemysłowych (niska „maturity”), ale mimo to doprowadzają do fizycznych skutków i „loss of view”, wymuszając ręczne przejęcie sterowania przez operatorów.
Architektura i dostęp
Twardnienie HMI/SCADA
Monitoring i detekcja
Procedury i ćwiczenia
Zarządzanie ryzykiem dostawców
W odróżnieniu od klasycznych kampanii APT (np. długotrwałe, ukryte infiltracje), opisywane ataki są głośne i oportunistyczne – mają dawać szybki efekt propagandowy (screeny z HMI), ale i tak potrafią wywoływać realne skutki fizyczne. Z-Pentest odróżnia się od typowych „DDoS-brigad” tym, że celuje bezpośrednio w OT/HMI, a nie wyłącznie w warstwę www/IT.
Fortinet opublikował poprawki dla dwóch krytycznych podatności, które umożliwiają ominięcie uwierzytelniania FortiCloud SSO w wielu produktach: FortiOS, FortiProxy, FortiSwitchManager (CVE-2025-59718) oraz FortiWeb (CVE-2025-59719). Atak możliwy jest z sieci (bez uwierzytelnienia) poprzez spreparowany komunikat SAML, który zostaje błędnie uznany za prawidłowo podpisany kryptograficznie.
Urządzenia Fortinet są regularnie wykorzystywane w kampaniach APT i ransomware (często jako zero-day). W 2025 r. głośne były m.in. masowe nadużycia błędów FortiWeb (CVE-2025-64446/58034). Dzisiejsze luki w SSO wpisują się w ten trend – funkcje tożsamości i zdalnego zarządzania to atrakcyjny cel dla napastników.
Sednem obu CVE jest „improper verification of cryptographic signature” (CWE-347) w ścieżce przetwarzania SAML. Odpowiedź SAML, która powinna być podpisana przez zaufanego IdP, może zostać zaakceptowana mimo fałszerstwa – to prowadzi do ominięcia FortiCloud SSO i uzyskania dostępu administracyjnego.
Zakres wersji podatnych (wybór najważniejszych gałęzi wg NVD / agregatorów):
Fortinet podkreśla, że FortiCloud SSO nie jest włączone w ustawieniach fabrycznych. Włącza się podczas rejestracji do FortiCare, o ile administrator nie odznaczy przełącznika „Allow administrative login using FortiCloud SSO”. To krytyczna informacja dla oceny ekspozycji.
Jeśli FortiCloud SSO jest aktywne, dowolny z Internetu atakujący może ominąć logowanie i uzyskać pełne uprawnienia administracyjne w dotkniętym urządzeniu (firewall/WAF/proxy/switch manager). To otwiera drogę do:
config system global set admin-forticloud-sso-login disable endStorm-0249 – dotąd klasyfikowany głównie jako initial access broker (IAB) – eskaluje taktyki i zaczyna samodzielnie przygotowywać grunt pod atak ransomware. Najnowsze obserwacje pokazują łańcuch ataku łączący ClickFix (nakłanianie ofiary do uruchomienia poleceń przez okno „Uruchom”), fileless PowerShell oraz DLL sideloading z wykorzystaniem plików powiązanych z EDR, co utrudnia detekcję i sprzyja ukrytej łączności C2. Te działania sygnalizują przejście z kampanii masowego phishingu do precyzyjnych operacji post-eksploatacyjnych nastawionych na późniejsze szyfrowanie zasobów.
Microsoft już w 2024 r. opisywał model współpracy ransomware, w którym tacy brokerzy jak Storm-0249 sprzedają dostęp grupom szyfrującym (np. Storm-0501). Obecna zmiana – przejście od masowego phishingu do „EDR-aware” operacji – skraca czas do eskalacji i zmniejsza liczbę sygnałów ostrzegawczych w SOC. Równolegle ClickFix ewoluował od prostych „fix your PC” stron do złożonych przynęt z wideo-instrukcjami i automatycznym kopiowaniem komend, co zwiększa konwersję ataków.
/us.microsoft.com/... na domenie zewnętrznej), po czym pipelinuje zawartość bezpośrednio do PowerShell, który wykonuje kod w pamięci – bez artefaktów na dysku. SentinelAgentCore.dll) tak, by EXE załadował agresora „z boku”. Daje to: (a) maskowanie pod sygnowany proces, (b) kanał C2 z „białej listy”, (c) trudniejsze alertowanie o LOLBins/LOLDrivers. reg.exe, findstr.exe) do odczytu MachineGuid i innych znaczników. Dane te służą m.in. do wiązania kluczy szyfrujących z konkretną maszyną w ramach operacji RaaS. Prewencja i twarde polityki
curl.exe/bitsadmin.exe/msiexec.exe wywoływane z Win+R/Shell-Execute bez kontekstu administratora (AppLocker/WDAC).Detekcja i hunting (przykładowe kierunki)
%AppData%) i nienatywnych bibliotek obok EXE.reg.exe/findstr.exe → odczyty gałęzi z identyfikatorami systemu; koreluj z nowym beaconem TLS. Twarde reagowanie
Storm-0249 łączy socjotechnikę (ClickFix) z „living-off-the-land” i EDR-aware sideloading, przesuwając punkt ciężkości obrony z klasycznych sygnatur na behawior, uprzywilejowane ścieżki ładowania i telemetrię procesów „zaufanych”. Organizacje powinny priorytetowo wdrożyć kontrolę ładowania DLL, monitoring nowych domen i pełne logowanie PowerShell. To trend, który zwiększa prędkość i skuteczność operacji ransomware – zanim zobaczysz klasyczne IOC, bywa już za późno.
4 grudnia 2025 r. CISA, NSA i kanadyjski Cyber Centre opublikowały raport analizy złośliwego oprogramowania (MAR) opisujący BRICKSTORM – niestandardowy backdoor (Go/ELF) używany przez państwowo wspieranych aktorów z ChRL do długotrwałej obecności w sieciach ofiar. Główne cele to sektor publiczny (Government Services & Facilities) oraz firmy IT. Malware obsługuje środowiska VMware vSphere (vCenter/ESXi) i ma również warianty dla Windows.
Kampania wpisuje się w długofalową aktywność APT z Chin opisywaną wspólnie przez CISA/NSA (np. wcześniejsze CSA nt. kompromitacji sieci krytycznych), ale BRICKSTORM to świeży komponent zwiększający trwałość w warstwie wirtualizacji. Niezależnie, Google Threat Intelligence (GTIG) i Mandiant raportowały jesienią 2025 r. aktywność „Brickstorm”/pokrewnych narzędzi z długim czasem utrzymania dostępu (~393 dni), szczególnie w branżach prawnej, SaaS i BPO.
Wejście i ruch boczny. W incydencie IR opisanym przez CISA napastnicy:
Funkcje BRICKSTORM.
Cele specyficzne dla wirtualizacji. Po wejściu do vCenter aktorzy:
Detekcja i polowanie
Hardening i kontrola powierzchni ataku
Odpowiedź na incydent (IR) – minimalny playbook
W porównaniu do wcześniejszych kampanii PRC opisywanych przez CISA/NSA (routery, urządzenia brzegowe), BRICKSTORM celuje w warstwę wirtualizacji i tożsamość (AD/ADFS), łącząc długą persystencję z trudnym do wykrycia C2 (DoH/WebSockets). To przesunięcie „w dół” stosu (hypervisor/zarządzanie) zwiększa wpływ i utrudnia odzyskanie środowiska.
3–4 grudnia 2025 r. w stanie Wirginia aresztowano braci bliźniaków, Muneeba i Sohaiba Akhterów (34 l.), którym zarzucono nadużycie uprawnień wykonawcy federalnego do skasowania ok. 96 baz danych z informacjami rządowymi – m.in. rejestrów wniosków FOIA (Freedom of Information Act) oraz danych śledczych kilku agencji. Według Departamentu Sprawiedliwości, do incydentu miało dojść w lutym 2025 r., a zatrzymania dokonano 3 grudnia.
Akhterowie byli już wcześniej skazani w 2015 r. za spiskowanie w celu uzyskania nieautoryzowanego dostępu do systemów rządowych i prywatnych. Mimo tej historii mieli pracować przy kontrakcie federalnym; według relacji prasowych działania destrukcyjne nastąpiły tuż po zakomunikowaniu im przez HR zakończenia współpracy, gdy dostęp nie został natychmiast wyłączony. Sprawa unaocznia klasyczny problem offboardingu w ekosystemie wykonawców i podwykonawców administracji publicznej.
Publicznie dostępne dokumenty i relacje wskazują na następujące elementy techniczne:
Dla instytucji publicznych i wykonawców:
DROP DATABASE.Dla zespołów PR/FOIA/Legal: przygotujcie plan ręcznego odtwarzania rekordów FOIA z kopii offline i logów transakcyjnych; komunikaty dla wnioskodawców dot. możliwych opóźnień.
Microsoft w listopadowych aktualizacjach 2025 r. wprowadził ciche zmiany w sposobie wyświetlania właściwości skrótów Windows (.LNK), co ogranicza skuteczność aktywnie wykorzystywanej luki CVE-2025-9491. Błąd pozwalał atakującym ukrywać złośliwe argumenty poleceń w polu Target tak, by użytkownik (lub analityk) nie widział rzeczywiście wykonywanego łańcucha polecenia. Microsoft wcześniej twierdził, że z uwagi na wymaganą interakcję użytkownika i ostrzeżenia „Mark of the Web”, problem „nie spełnia progu dla serwisowania”, ale mimo to w systemie pojawiła się mitygacja interfejsowa.
Trend Micro ZDI opublikowało w marcu 2025 r. analizę, dokumentując prawie 1000 złośliwych skrótów .LNK i szerokie wykorzystanie luki przez aktorów sponsorowanych przez państwa. Microsoft – po kilku rundach komunikacji – uznał wówczas, że problem „nie spełnia progu” na łatkę bezpieczeństwa. Jesienią 2025 r. Arctic Wolf Labs opisało świeże kampanie UNC6384 (Mustang Panda) przeciw europejskim dyplomatom, dystrybuujące PlugX przez spreparowane .LNK. W efekcie temat wrócił, a w listopadzie interfejs Windows został zmieniony.
powershell.exe/cmd.exe bez realnych parametrów wywołujących pobranie i uruchomienie malware.rundll32, cmd, conhost) do pobrania i uruchomienia ładunku (np. PlugX, Gh0st RAT, Ursnif). %TEMP%, %AppData%).cmd/rundll32 z argumentami z niezaufanych ścieżek. (Technika mapowana do MITRE ATT&CK T1204/T1059).