Archiwa: APT - Strona 2 z 31 - Security Bez Tabu

Czy zawieszenie broni ogranicza cyberataki? Historia pokazuje, że nie

Wprowadzenie do problemu / definicja

Zawieszenie broni w konflikcie kinetycznym nie oznacza automatycznie deeskalacji w cyberprzestrzeni. Operacje cybernetyczne często trwają mimo politycznych deklaracji o ograniczeniu działań zbrojnych, a ich charakter może ulegać zmianie zamiast całkowitego wygaszenia. Dla organizacji publicznych i prywatnych oznacza to, że rozejm nie powinien być traktowany jako wiarygodny sygnał spadku ryzyka cybernetycznego.

W praktyce cyberprzestrzeń pozostaje obszarem, w którym państwa, grupy sponsorowane oraz podmioty podszywające się pod hacktywizm mogą utrzymywać presję bez bezpośredniego naruszania formalnych warunków zawieszenia broni. To właśnie dlatego zespoły bezpieczeństwa muszą analizować takie wydarzenia przede wszystkim jako możliwy moment zmiany taktyki przeciwnika.

W skrócie

Historia ostatnich konfliktów pokazuje, że rozejmy rzadko prowadzą do pełnego „cyfrowego zawieszenia broni”. Nawet jeśli niektóre grupy deklarują czasowe ograniczenie aktywności, inne elementy tego samego ekosystemu zagrożeń mogą kontynuować operacje w mniej widocznej formie.

Najczęściej obserwowanym zjawiskiem nie jest całkowity spadek liczby ataków, lecz przesunięcie aktywności na cele pośrednie, państwa sojusznicze, dostawców usług, organizacje komercyjne lub infrastrukturę krytyczną. W efekcie okres politycznego odprężenia może dla obrońców oznaczać fazę reorganizacji kampanii, a nie realnego uspokojenia sytuacji.

Kontekst / historia

Impulsem do ponownej dyskusji na ten temat stały się napięcia wokół kruchego zawieszenia broni między Stanami Zjednoczonymi a Iranem. Po ogłoszeniu rozejmu część grup powiązanych z irańskim ekosystemem wpływu i cyberoperacji sygnalizowała czasowe ograniczenie działań wymierzonych w USA. Jednocześnie same komunikaty tych podmiotów wskazywały, że cyberwojna funkcjonuje według własnej logiki i nie kończy się automatycznie wraz z pauzą w działaniach militarnych.

Podobne wzorce były widoczne po eskalacji konfliktu Izraela z Hamasem po październiku 2023 roku. Mimo deklaracji o ograniczaniu niektórych kampanii zagrożenie nie zniknęło, lecz ewoluowało. Również doświadczenia z wojny rosyjsko-ukraińskiej pokazują, że okresy względnego osłabienia walk kinetycznych nie muszą oznaczać spadku aktywności w domenie cyfrowej. Przeciwnie, cyberoperacje bywają wtedy wykorzystywane do podtrzymywania nacisku politycznego, psychologicznego i operacyjnego.

W historii można wskazać wyjątki, takie jak okres wokół porozumienia nuklearnego z Iranem w 2015 roku, gdy część analityków odnotowała ograniczenie złośliwej aktywności wobec celów amerykańskich. Nie zmienia to jednak faktu, że dominującym wzorcem pozostaje kontynuacja działań w zmodyfikowanej formie.

Analiza techniczna

Z technicznego punktu widzenia zawieszenie broni nie ogranicza zdolności operacyjnych grup APT, aktorów prowadzących operacje wpływu ani środowisk hacktywistycznych. Kampanie phishingowe, ataki DDoS, włamania do usług internetowych, eksfiltracja danych, defacement, ransomware czy działania rozpoznawcze mogą być prowadzone niezależnie od sytuacji na froncie.

Szczególne znaczenie mają grupy, które komunikacyjnie przedstawiają się jako oddolni aktywiści, lecz realizują cele zgodne z interesami państwa. Taka konstrukcja pozwala utrzymywać presję przy jednoczesnym zachowaniu niejednoznaczności atrybucji. Jeśli jedna grupa publicznie ogłasza wstrzymanie działań, inne podmioty z tego samego ekosystemu mogą przejąć zadania lub zmienić profil aktywności na mniej oczywisty.

W praktyce podczas rozejmu często dochodzi do zmiany wektora ataku i doboru ofiar. Zamiast bezpośredniego uderzenia w główne strony konfliktu, zagrożenie może zostać przekierowane na:

cele drugorzędne i podmioty zależne,
organizacje wspierające jedną ze stron konfliktu,
instytucje publiczne państw sojuszniczych,
dostawców usług i firmy z łańcucha dostaw,
prywatne przedsiębiorstwa o wysokiej rozpoznawalności.

Dla zespołów obronnych oznacza to konieczność obserwowania nie tylko poziomu aktywności, ale również zmian w TTP, narracjach propagandowych, doborze przynęt phishingowych i sposobie publikowania informacji o incydentach. Cyberprzestrzeń pełni w takich okresach rolę asymetrycznego narzędzia nacisku, które może być używane bez formalnego złamania warunków zawieszenia broni.

Konsekwencje / ryzyko

Najważniejszy wniosek dla organizacji jest jednoznaczny: geopolityczny rozejm nie powinien prowadzić do obniżenia gotowości SOC ani ograniczania monitoringu. W niektórych scenariuszach ryzyko może wręcz wzrosnąć, jeśli przeciwnik uzna cyberoperacje za bardziej opłacalny i mniej eskalacyjny kanał projekcji siły.

Do najważniejszych konsekwencji należą:

wzrost ryzyka ataków na podmioty postrzegane jako wspierające jedną ze stron konfliktu,
większa liczba kampanii phishingowych i dezinformacyjnych wykorzystujących bieżące wydarzenia,
nasilenie ataków DDoS o charakterze demonstracyjnym,
wyższe zagrożenie dla infrastruktury krytycznej oraz środowisk OT,
trudniejsza atrybucja incydentów przez użycie grup pośrednich,
większa niepewność analityczna i ryzyko błędnej interpretacji sygnałów strategicznych.

Dodatkowym problemem jest nadmierne zaufanie do publicznych deklaracji grup zagrożeń. Komunikaty o „czasowym wstrzymaniu działań” mogą pełnić funkcję propagandową, negocjacyjną lub maskującą i nie muszą mieć wartości operacyjnej z punktu widzenia obrony.

Rekomendacje

Organizacje powinny utrzymać podwyższony poziom monitorowania niezależnie od komunikatów politycznych i deklaracji aktorów zagrożeń. Kluczowe jest założenie, że rozejm może oznaczać zmianę taktyki przeciwnika, a nie zakończenie kampanii.

Utrzymywać bieżące monitorowanie IOC oraz TTP powiązanych z grupami sponsorowanymi przez państwa i środowiskami hacktywistycznymi.
Zwiększyć czujność wobec phishingu wykorzystującego tematy wojny, sankcji, rozejmów i kryzysów dyplomatycznych.
Przeprowadzić przegląd ekspozycji usług publicznych, w tym VPN, portali uwierzytelniania, OWA, paneli administracyjnych i aplikacji SaaS.
Przygotować scenariusze reagowania na DDoS, defacement, wycieki danych oraz operacje wpływu.
Zweryfikować segmentację sieci i poziom ochrony systemów OT oraz elementów infrastruktury krytycznej.
Utrzymywać aktualne kopie zapasowe, testy odtwarzania oraz playbooki IR dla incydentów destrukcyjnych i ransomware.
Łączyć monitoring techniczny z analizą geopolityczną i danymi threat intelligence.
Szkolić użytkowników końcowych w rozpoznawaniu wiadomości wykorzystujących bieżące wydarzenia polityczne.

Dla zespołów threat intelligence szczególnie ważne jest odróżnienie realnego spadku aktywności od jedynie zmienionego profilu kampanii. Warto też monitorować podmioty pośrednie i państwa trzecie, które mogą stać się celem zastępczym.

Podsumowanie

Historia konfliktów pokazuje, że zawieszenie broni rzadko prowadzi do pełnego zatrzymania cyberataków. Znacznie częściej dochodzi do przesunięcia aktywności, zmiany celów oraz utrzymania presji poprzez działania asymetryczne. Dla obrońców oznacza to konieczność zachowania wysokiej gotowości i unikania założenia, że polityczny rozejm automatycznie przekłada się na cyfrowe uspokojenie sytuacji.

Cyberprzestrzeń działa według innej logiki niż pole walki. Dlatego najbardziej bezpiecznym założeniem dla organizacji pozostaje traktowanie zawieszenia broni jako potencjalnego momentu reorganizacji działań przeciwnika, a nie jako sygnału do obniżenia czujności.

Źródła

Do Ceasefires Slow Cyberattacks? History Suggests Not — https://www.darkreading.com/cybersecurity-analytics/ceasefires-slow-cyberattacks-history
Proofpoint: Hamas Cyber Actors Use Ceasefire-Themed Lures in Middle East Campaigns — https://www.proofpoint.com/
CSIS: Analysis of Cyber Operations in the Russia-Ukraine Conflict — https://www.csis.org/
The New York Times: Iranian Hacking Activity and Nuclear Negotiations — https://www.nytimes.com/
Wired: Cyber Activity Trends After the Iran Nuclear Deal — https://www.wired.com/

Fancy Bear nadal prowadzi globalne operacje cyberwywiadowcze i sabotażowe

Wprowadzenie do problemu / definicja

Fancy Bear, znana również jako APT28, Sofacy, Pawn Storm czy Forest Blizzard, pozostaje jedną z najbardziej rozpoznawalnych grup zagrożeń powiązanych z rosyjskim wywiadem wojskowym GRU. Najnowsze analizy pokazują, że ugrupowanie nie ogranicza się do pojedynczych kampanii, lecz prowadzi długofalowe operacje wymierzone w administrację publiczną, sektor obronny, infrastrukturę krytyczną oraz organizacje należące do łańcuchów dostaw.

Skala aktywności tej grupy wskazuje, że mamy do czynienia z trwałą i adaptacyjną ofensywą cybernetyczną. Ataki łączą klasyczne techniki socjotechniczne z nowoczesnym wykorzystaniem podatności, przejmowaniem poświadczeń oraz nadużywaniem urządzeń sieciowych.

W skrócie

Fancy Bear pozostaje aktywnym aktorem państwowym, który skutecznie łączy phishing, eksploatację luk bezpieczeństwa, kradzież danych uwierzytelniających i operacje z użyciem skompromitowanych routerów. Ostatnie raporty wskazują szczególnie na kampanie wykorzystujące zestaw malware Prismex oraz techniki relay NTLMv2 i przechwytywania poświadczeń.

Grupa celuje w podmioty rządowe, wojskowe i strategiczne.
Wykorzystuje zarówno nowe podatności, jak i znane, lecz nadal niezałatane luki.
Łączy cyberwywiad z możliwościami sabotażowymi, w tym z funkcjami typu wiper.
Nadużywa routerów i infrastruktury DNS do przechwytywania ruchu i poświadczeń.

Kontekst / historia

APT28 działa co najmniej od połowy lat 2000 i od lat pozostaje kojarzona z operacjami wymierzonymi w cele rządowe, wojskowe i polityczne. W przeszłości grupa była wiązana z kampaniami phishingowymi, kradzieżą poświadczeń, wykorzystaniem podatności typu zero-day oraz działaniami wspierającymi szersze cele geopolityczne Rosji.

W ostatnim czasie grupa ponownie znalazła się w centrum uwagi po serii publikacji analitycznych i ostrzeżeń instytucji rządowych. Szczególne znaczenie ma aktywność ukierunkowana na kraje Europy Środkowo-Wschodniej oraz środowiska powiązane z bezpieczeństwem regionalnym i wsparciem dla Ukrainy. Taki profil ofiar potwierdza, że celem operacji jest nie tylko pozyskanie informacji, ale także budowanie długoterminowej przewagi operacyjnej.

Analiza techniczna

Jednym z najważniejszych elementów ostatnich kampanii jest wykorzystanie zestawu narzędzi określanego jako Prismex. Malware ten miał wykorzystywać wiele podatności w systemie Windows i pakiecie Microsoft Office, łącząc techniki steganografii, przejęcia komponentów COM oraz komunikację z infrastrukturą dowodzenia przez legalne usługi chmurowe. Taki model utrudnia wykrycie, ponieważ część ruchu może przypominać zwykłą aktywność użytkownika lub administratora.

Istotne jest także to, że Prismex nie pełni wyłącznie funkcji wywiadowczych. Analizy wskazują, że narzędzie może zawierać komendy wspierające działania destrukcyjne, w tym wycieranie danych. Oznacza to, że pozornie klasyczna kompromitacja może w praktyce przygotowywać grunt pod późniejszy sabotaż.

Drugim istotnym wektorem są ataki relay NTLMv2 oraz przechwytywanie hashy uwierzytelniających. W tym scenariuszu napastnicy wykorzystywali podatność CVE-2023-23397 w Microsoft Outlook, dzięki której ofiara mogła nieświadomie zainicjować połączenie do kontrolowanego przez atakującego serwera SMB. To pozwalało na pozyskanie Net-NTLMv2 hash i dalsze próby uwierzytelnienia w innych systemach bez znajomości hasła w postaci jawnej.

Dodatkowo operatorzy Fancy Bear mieli wykorzystywać skompromitowane routery, zwłaszcza urządzenia SOHO, do przejmowania ustawień DNS i prowadzenia operacji pośredniczących. Taki mechanizm umożliwia przekierowywanie ofiar do kontrolowanej infrastruktury, zbieranie poświadczeń, przechwytywanie tokenów oraz realizację ataków typu adversary-in-the-middle. W praktyce jest to połączenie kompromitacji warstwy sieciowej i ataku na tożsamość, co znacząco zwiększa skuteczność obejścia tradycyjnych zabezpieczeń.

Warto podkreślić, że skuteczność grupy nie wynika wyłącznie z użycia zaawansowanych exploitów. Fancy Bear stale korzysta także z metod dobrze znanych obrońcom, takich jak phishing, słabe hasła, nieaktualne oprogramowanie, błędne konfiguracje oraz starsze protokoły uwierzytelniania. To właśnie umiejętne łączenie prostszych i bardziej zaawansowanych technik pozostaje jedną z największych sił tego ugrupowania.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem aktywności Fancy Bear jest połączenie ryzyka wywiadowczego i destrukcyjnego. Organizacje mogą utracić poufne informacje strategiczne, dane operacyjne, korespondencję kierownictwa, dostęp do systemów pocztowych oraz zasobów katalogowych. W sektorach o znaczeniu strategicznym przekłada się to bezpośrednio na bezpieczeństwo państwa, ciągłość działania i odporność łańcucha dostaw.

Zagrożone są nie tylko duże instytucje. Mniejsze organizacje, samorządy oraz firmy usługowe mogą zostać wykorzystane jako punkt pośredni do dalszych ataków. W praktyce oznacza to, że nawet podmioty spoza pierwszej linii geopolitycznego konfliktu mogą zostać wciągnięte w operacje APT jako źródło danych lub kanał dostępu do bardziej wartościowych celów.

Szczególnie wysokie ryzyko dotyczy warstwy tożsamości i urządzeń sieciowych. Przejęcie poświadczeń, sesji lub tokenów często pozwala ominąć klasyczne zabezpieczenia. Z kolei kompromitacja routerów i DNS bywa trudna do zauważenia, ponieważ wiele organizacji skupia monitoring na stacjach roboczych i serwerach, pomijając małe urządzenia brzegowe.

Rekomendacje

Podstawowym działaniem ochronnym pozostaje sprawne zarządzanie podatnościami. Organizacje powinny priorytetowo wdrażać poprawki dla systemów Windows, Office, Outlook oraz firmware’u routerów i innych urządzeń brzegowych. Równie ważne jest ograniczanie użycia starszych protokołów uwierzytelniania oraz monitorowanie wszelkich prób nadużyć związanych z NTLM.

Kolejnym filarem obrony jest ochrona tożsamości. W praktyce oznacza to wymuszenie MFA dla poczty, VPN, dostępu administracyjnego i usług chmurowych, wdrożenie zasady najmniejszych uprawnień, ograniczenie trwałych uprawnień administracyjnych oraz stosowanie założeń architektury zero trust.

Istotne jest również objęcie routerów i urządzeń sieciowych pełnym procesem bezpieczeństwa. Należy prowadzić ich inwentaryzację, regularnie aktualizować oprogramowanie, zmieniać domyślne hasła, wyłączać zbędne usługi zdalnego zarządzania, kontrolować konfigurację DNS i analizować logi administracyjne.

Po stronie detekcji kluczowe jest korelowanie sygnałów z wielu warstw środowiska. Szczególną uwagę warto zwracać na nietypowe połączenia SMB, próby relay NTLM, zmiany konfiguracji DNS, ostrzeżenia o błędach certyfikatów, nietypowe logowania oraz użycie rzadko spotykanych ścieżek uwierzytelniania.

Priorytetowe łatanie systemów i urządzeń brzegowych.
Wyłączenie lub ograniczenie NTLM tam, gdzie to możliwe.
Wdrożenie MFA i segmentacji dostępu uprzywilejowanego.
Stały monitoring zmian DNS i konfiguracji routerów.
Szkolenia użytkowników z phishingu i podejrzanych zaproszeń kalendarzowych.

Podsumowanie

Fancy Bear pozostaje jednym z najgroźniejszych aktorów państwowych w cyberprzestrzeni. Najnowsze kampanie pokazują, że grupa nadal skutecznie łączy eksploatację podatności, kradzież poświadczeń, nadużycia infrastruktury sieciowej i zdolności sabotażowe.

Dla obrońców najważniejszy wniosek jest jednoznaczny: skuteczna ochrona przed APT28 nie wymaga wyłącznie zaawansowanych narzędzi, ale przede wszystkim konsekwentnego usuwania podstawowych słabości. Terminowe aktualizacje, silna ochrona tożsamości, zabezpieczenie routerów i podejście zero trust powinny dziś stanowić minimalny standard bezpieczeństwa.

Źródła

https://www.darkreading.com/threat-intelligence/russias-fancy-bear-apt-continues-global-onslaught
https://www.ncsc.gov.uk/news/uk-exposes-russian-military-intelligence-hijacking-vulnerable-routers-for-cyber-attacks
https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations
https://www.ic3.gov/PSA/2026/PSA260320
https://documents.trendmicro.com/assets/rpt/rpt_a_rising_tide.pdf

Prawie 4 tys. urządzeń przemysłowych w USA narażonych na irańskie cyberataki

Wprowadzenie do problemu / definicja

Amerykańskie agencje rządowe ostrzegły przed aktywną kampanią wymierzoną w publicznie dostępne sterowniki PLC wykorzystywane w infrastrukturze krytycznej. Szczególnie zagrożone są urządzenia Rockwell Automation i Allen-Bradley wystawione bezpośrednio do Internetu, co czyni je łatwym celem dla grup powiązanych z Iranem. Problem wpisuje się w szerszy trend ataków na środowiska OT i ICS, gdzie pojedyncza podatność konfiguracyjna może przełożyć się nie tylko na incydent informatyczny, ale również na zakłócenia procesów fizycznych.

W skrócie

Od marca 2026 roku obserwowane są działania ukierunkowane na internetowo dostępne sterowniki PLC w amerykańskich organizacjach infrastruktury krytycznej. Według dostępnych ustaleń kampania może prowadzić do zakłóceń operacyjnych oraz strat finansowych.

Globalnie zidentyfikowano ponad 5,2 tys. hostów odpowiadających jako urządzenia Rockwell/Allen-Bradley.
Około 3 891 z nich znajdowało się w Stanach Zjednoczonych.
Część systemów działa w segmentach terenowych i może być połączona przez modemy komórkowe.
Atakujący mieli pozyskiwać pliki projektowe i manipulować danymi prezentowanymi w interfejsach operatorskich.

Kontekst / historia

Ataki na środowiska OT powiązane z Iranem nie są nowym zjawiskiem. Obecna kampania stanowi kontynuację wcześniejszego wzorca działań, w którym celem są systemy sterowania przemysłowego wystawione do Internetu lub niewłaściwie segmentowane. W poprzednich incydentach przypisywanych podmiotom związanym z irańskim IRGC celem były między innymi urządzenia Unitronics używane w sektorach wodno-kanalizacyjnych oraz innych obszarach infrastruktury krytycznej.

Obecna fala ostrzeżeń pokazuje, że przeciwnik konsekwentnie wykorzystuje tę samą klasę problemów: bezpośrednią ekspozycję systemów OT, niewystarczające uwierzytelnianie oraz ograniczoną separację pomiędzy siecią przemysłową a Internetem.

Analiza techniczna

W opisywanej kampanii celem są sterowniki PLC obsługujące protokoły przemysłowe, w tym EtherNet/IP. Dla atakującego internetowo dostępny sterownik jest szczególnie wartościowy, ponieważ może ujawniać metadane urządzenia, konfigurację projektu, status komunikacji oraz informacje potrzebne do dalszej interakcji z procesem technologicznym.

Z technicznego punktu widzenia szczególnie groźne jest pozyskanie plików projektowych urządzeń oraz manipulowanie danymi wyświetlanymi w HMI i SCADA. Przejęcie project file może dostarczyć wiedzy o logice sterowania, tagach, nazwach zmiennych, konfiguracji wejść i wyjść oraz zależnościach procesowych. Z kolei zmiana danych widocznych na ekranach operatorskich może utrudniać ocenę stanu instalacji i opóźniać reakcję personelu na incydent.

Dodatkowym czynnikiem ryzyka jest sposób podłączenia części urządzeń. Znaczna liczba systemów działa w sieciach operatorów komórkowych, co może wskazywać na wykorzystanie modemów LTE lub 5G do zdalnej obsługi urządzeń terenowych. W praktyce oznacza to, że sterownik może funkcjonować poza dobrze chronioną infrastrukturą centralną, a jednocześnie pozostawać osiągalny z Internetu bez odpowiedniej filtracji ruchu, VPN czy silnego uwierzytelniania.

W środowisku OT problemem nie jest wyłącznie otwarty port. Ryzyko rośnie, gdy nakładają się na siebie wieloletnia eksploatacja bez zmian konfiguracyjnych, ograniczony monitoring ruchu przemysłowego, obecność słabych mechanizmów autoryzacji oraz trudności z szybkim wdrażaniem aktualizacji firmware’u.

Konsekwencje / ryzyko

Ryzyko dla organizacji ma charakter wielowarstwowy. Na poziomie operacyjnym skutkiem może być przerwanie procesu, błędne wskazania operatorskie, wymuszone zatrzymanie linii lub pogorszenie jakości procesu technologicznego. Na poziomie biznesowym oznacza to przestoje, koszty przywrócenia działania, utratę przychodów i konsekwencje kontraktowe. W sektorach infrastruktury krytycznej dochodzi do tego zagrożenie dla ciągłości usług publicznych.

Istotny jest również aspekt przygotowawczy ataku. Kradzież konfiguracji i plików projektowych pozwala przeciwnikowi lepiej zaplanować kolejne etapy operacji, w tym sabotaż, manipulację logiką sterowania lub działania ukierunkowane na konkretne obiekty. Nawet jeśli pierwszy etap nie doprowadzi do awarii, zdobyta wiedza zwiększa prawdopodobieństwo skuteczniejszego ataku w przyszłości.

Zagrożenie nie dotyczy wyłącznie dużych operatorów infrastruktury krytycznej. W praktyce narażone są również mniejsze zakłady przemysłowe, integratorzy OT, obiekty terenowe oraz organizacje korzystające ze zdalnego dostępu do utrzymania ruchu. To właśnie takie środowiska często dysponują najmniej dojrzałymi mechanizmami wykrywania incydentów.

Rekomendacje

Podstawowym krokiem powinno być natychmiastowe zidentyfikowanie wszystkich sterowników PLC i komponentów OT dostępnych z Internetu. Urządzenia, które nie muszą być publicznie osiągalne, należy odłączyć od sieci publicznej. Jeśli zdalny dostęp jest konieczny, powinien być realizowany wyłącznie przez kontrolowane bramy, zapory sieciowe, VPN oraz właściwą segmentację.

Przeprowadzić pełną inwentaryzację internetowo dostępnych zasobów OT.
Wdrożyć wieloskładnikowe uwierzytelnianie dla dostępu administracyjnego i zdalnego.
Wyłączyć nieużywane usługi, interfejsy i domyślne konta techniczne.
Monitorować logi i ruch sieciowy pod kątem anomalii w protokołach przemysłowych.
Zweryfikować wersje firmware’u, kopie konfiguracji i procedury odtworzeniowe.
Regularnie testować scenariusze przywracania sterowników oraz HMI/SCADA po incydencie.

Z perspektywy strategicznej organizacje powinny rozwijać model zero trust dla zdalnego dostępu do OT, klasyfikować krytyczność urządzeń oraz integrować telemetrię przemysłową z procesami SOC. W środowiskach infrastruktury krytycznej kluczowa pozostaje ścisła współpraca zespołów IT, OT, utrzymania ruchu i bezpieczeństwa.

Podsumowanie

Obecna kampania pokazuje, że publicznie dostępne sterowniki PLC pozostają jednym z najgroźniejszych punktów styku między cyberprzestrzenią a procesami przemysłowymi. Skala ekspozycji w USA, obejmująca blisko 4 tys. urządzeń, potwierdza systemowy charakter problemu. Działania przypisywane podmiotom powiązanym z Iranem pokazują również, że przeciwnicy coraz skuteczniej łączą rekonesans, pozyskiwanie konfiguracji i manipulację interfejsami operatorskimi. Dla obrońców oznacza to konieczność priorytetowego zabezpieczenia wszystkich publicznie dostępnych systemów OT.

Źródła

BleepingComputer – Nearly 4,000 US industrial devices exposed to Iranian cyberattacks — https://www.bleepingcomputer.com/news/security/nearly-4-000-us-industrial-devices-exposed-to-iranian-cyberattacks/
BleepingComputer – US warns of Iranian hackers targeting critical infrastructure — https://www.bleepingcomputer.com/news/security/us-warns-of-iranian-hackers-targeting-critical-infrastructure/
Censys – Iranian-Affiliated APT Targeting of Rockwell/Allen-Bradley PLCs — https://censys.com/blog/iranian-affiliated-apt-targeting-rockwell-allen-bradley-plcs/
IC3/FBI – Iranian-affiliated APT actors targeting internet-exposed PLCs — https://www.ic3.gov/CSA/2026/260407
CISA – CyberAv3ngers targets Unitronics PLCs — https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-335a

Forest Blizzard przejmuje routery SOHO i przechwytuje logowania poprzez manipulację DNS

Wprowadzenie do problemu / definicja

Grupa Forest Blizzard, znana również jako APT28, prowadzi kampanie cyberszpiegowskie, w których punktem wejścia nie są już wyłącznie stacje robocze czy serwery, ale także urządzenia brzegowe. Najnowsze ustalenia pokazują, że kompromitacja routerów SOHO oraz zmiana ich konfiguracji DNS mogą umożliwić przechwytywanie poświadczeń, obserwację ruchu sieciowego i realizację ataków typu adversary-in-the-middle bez instalowania klasycznego malware na komputerach ofiar.

To podejście jest szczególnie niebezpieczne, ponieważ wiele organizacji nadal traktuje małe routery biurowe i urządzenia dostępu zdalnego jako elementy infrastruktury o niskim priorytecie bezpieczeństwa. W praktyce właśnie one mogą stać się skutecznym narzędziem do długotrwałej infiltracji i kradzieży danych.

W skrócie

Według ujawnionych analiz napastnicy wykorzystywali znane, starsze podatności w routerach SOHO i wybranych zaporach sieciowych, aby uzyskać dostęp administracyjny do urządzeń. Następnie modyfikowali ustawienia DNS i kierowali ruch ofiar przez kontrolowaną infrastrukturę VPS.

celem były m.in. routery MikroTik i TP-Link oraz wybrane rozwiązania Nethesis i Fortinet,
atak umożliwiał przechwytywanie loginów i haseł do usług webowych oraz poczty,
kampania miała charakter niemal bezmalware’owy, co utrudniało jej wykrycie,
zidentyfikowano tysiące urządzeń i szeroki zasięg geograficzny operacji.

Kontekst / historia

Forest Blizzard od lat jest kojarzona z operacjami wywiadowczymi wymierzonymi w administrację publiczną, dyplomację, sektor obronny i organizacje o wysokiej wartości strategicznej. Grupa konsekwentnie rozwija techniki pozyskiwania dostępu do kont pocztowych, usług chmurowych i systemów komunikacji, a jej działania wielokrotnie łączono z rosyjskim wywiadem wojskowym.

W opisywanej kampanii uwagę zwraca przesunięcie ciężaru ataku z endpointów na urządzenia perymetryczne. Routery i małe firewalle często działają latami bez aktualizacji, mają ograniczone logowanie zdarzeń i pozostają poza stałym monitoringiem SOC. To sprawia, że są atrakcyjnym celem dla zaawansowanych grup APT.

Ataki na warstwę infrastrukturalną, w tym DNS i urządzenia edge, wpisują się w szerszy trend obserwowany w ostatnich latach. Z perspektywy napastnika kompromitacja routera daje uprzywilejowaną pozycję wobec całego ruchu wychodzącego z organizacji lub zdalnej lokalizacji.

Analiza techniczna

Rdzeń kampanii był technicznie stosunkowo prosty, ale bardzo skuteczny. Operatorzy wykorzystywali publicznie znane luki umożliwiające uzyskanie dostępu do paneli administracyjnych urządzeń. Jednym z przywoływanych przykładów był błąd CVE-2023-50224 dotyczący urządzeń TP-Link, pozwalający na ujawnienie informacji bez uwierzytelnienia.

Po przejęciu kontroli nad routerem atakujący zmieniali konfigurację DNS. W efekcie zapytania o rozwiązywanie nazw domen mogły trafiać do infrastruktury kontrolowanej przez przeciwnika. To otwierało drogę do przekierowywania ruchu przez serwery pośredniczące i prowadzenia ataków adversary-in-the-middle.

W takim modelu napastnicy mogli przechwytywać loginy i hasła do usług webowych, zbierać tokeny sesyjne, analizować wzorce komunikacji organizacji i utrzymywać trwały dostęp przy minimalnej widoczności po stronie narzędzi ochronnych. Ponieważ główna aktywność odbywała się na routerze i w warstwie DNS, systemy EDR zainstalowane na stacjach roboczych mogły nie wykazać żadnych jednoznacznych oznak incydentu.

To właśnie brak klasycznego malware na endpointach czyni tę technikę tak niebezpieczną. W wielu środowiskach jedynym śladem kompromitacji mogą być nieautoryzowane zmiany serwerów DNS, nietypowe przekierowania ruchu lub połączenia do podejrzanej infrastruktury VPS.

Konsekwencje / ryzyko

Skutki przejęcia routera brzegowego mogą być bardzo poważne. Tego rodzaju urządzenie znajduje się na ścieżce komunikacji użytkowników, co daje atakującemu możliwość wpływania na ruch sieciowy bez bezpośredniego naruszania hostów końcowych.

kradzież danych uwierzytelniających do poczty, VPN i aplikacji SaaS,
przejęcie kont użytkowników i dalszy ruch boczny w środowisku,
podsłuchiwanie lub profilowanie komunikacji organizacyjnej,
obejście tradycyjnych mechanizmów detekcji skupionych na endpointach,
długotrwała obecność przeciwnika przy ograniczonych artefaktach forensic.

Szczególnie narażone pozostają organizacje korzystające ze starszych urządzeń, sprzętu niewspieranego przez producenta, domyślnych ustawień administracyjnych oraz zdalnego zarządzania wystawionego bezpośrednio do Internetu. Ryzyko rośnie również w środowiskach rozproszonych, w których nie ma centralnego nadzoru nad konfiguracją urządzeń w oddziałach i lokalizacjach pracy zdalnej.

Rekomendacje

Obrona przed tego typu kampaniami wymaga traktowania routerów SOHO, firewalli i innych urządzeń edge jako pełnoprawnych elementów powierzchni ataku. Organizacje powinny wdrożyć zestaw działań technicznych i organizacyjnych ograniczających możliwość przejęcia infrastruktury brzegowej.

przeprowadzić pełną inwentaryzację routerów, firewalli i urządzeń dostępowych,
aktualizować firmware i wycofywać sprzęt niewspierany lub podatny na znane luki,
regularnie weryfikować konfigurację DNS na routerach i hostach końcowych,
wyłączyć zdalne zarządzanie z Internetu, jeśli nie jest absolutnie konieczne,
ograniczyć dostęp administracyjny za pomocą ACL, VPN i MFA,
monitorować logi pod kątem nietypowych serwerów DNS i podejrzanych połączeń do VPS,
rotować hasła i unieważniać sesje kont potencjalnie narażonych na przechwycenie,
rozszerzyć detekcję o warstwę sieciową, tożsamości i usługi chmurowe,
segmentować sieć i ograniczać zaufanie do lokalnych urządzeń dostępowych,
stosować rozwiązania klasy enterprise tam, gdzie przetwarzane są dane wrażliwe.

Dobrą praktyką jest także cykliczna kontrola ustawień DNS oraz parametrów administracyjnych urządzeń perymetrycznych. W takich incydentach właśnie zmiany konfiguracyjne bywają najważniejszym wskaźnikiem kompromitacji.

Podsumowanie

Kampania przypisywana Forest Blizzard pokazuje, że skuteczna operacja cyberszpiegowska nie musi opierać się na zero-dayach ani rozbudowanym malware. Wystarczy połączenie znanych podatności, słabo zarządzanych routerów SOHO i manipulacji DNS, aby zdobyć cenne poświadczenia oraz dostęp do ruchu organizacyjnego.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że ochrona urządzeń brzegowych i integralności usług DNS powinna być traktowana jako priorytet strategiczny. W przeciwnym razie przeciwnik może uzyskać szeroki wgląd w komunikację organizacji bez uruchamiania alarmów charakterystycznych dla klasycznych infekcji endpointów.

Źródła

Internetowo wystawione urządzenia ICS zwiększają ryzyko dla infrastruktury krytycznej

Wprowadzenie do problemu / definicja

Systemy ICS i SCADA odpowiadają za sterowanie procesami przemysłowymi w energetyce, transporcie, produkcji, wodociągach oraz innych sektorach infrastruktury krytycznej. Ich bezpośrednia ekspozycja do internetu stanowi poważne zagrożenie, szczególnie wtedy, gdy komunikacja opiera się na starszych protokołach przemysłowych, takich jak Modbus TCP, projektowanych z myślą o sieciach odizolowanych, a nie o środowisku publicznym.

W praktyce oznacza to, że urządzenia sterujące mogą ujawniać dane procesowe, informacje identyfikacyjne oraz parametry operacyjne osobom nieuprawnionym. W części przypadków możliwa jest nie tylko obserwacja, ale także ingerencja w rejestry i ustawienia urządzeń.

W skrócie

Najnowsze analizy pokazują, że w internecie nadal widoczne są rzeczywiste urządzenia ICS odpowiadające na zapytania przez port 502, standardowo wykorzystywany przez Modbus TCP. Po odfiltrowaniu pułapek, środowisk testowych i wyników o niskiej wiarygodności badacze wskazali 179 prawdopodobnie autentycznych urządzeń przemysłowych.

Najwięcej z nich znajdowało się w Stanach Zjednoczonych, a kolejne w Szwecji i Turcji. Część systemów była powiązana z wrażliwymi środowiskami, w tym z infrastrukturą kolejową oraz energetyczną, co dodatkowo podnosi poziom ryzyka operacyjnego i bezpieczeństwa.

Kontekst / historia

Zagrożenia dla środowisk OT nie są nowym zjawiskiem. Wcześniejsze incydenty, takie jak Stuxnet, Industroyer, Triton, Havex czy BlackEnergy, pokazały, że systemy przemysłowe mogą być celem działań sabotażowych, szpiegowskich i destrukcyjnych. Wraz z rozwojem zdalnego dostępu oraz integracji IT i OT rośnie powierzchnia ataku, a historyczne założenie o izolacji przestaje mieć zastosowanie.

Nowoczesne przedsiębiorstwa przemysłowe coraz częściej łączą warstwę produkcyjną z systemami monitoringu, usługami serwisowymi i rozwiązaniami chmurowymi. Taka konwergencja zwiększa efektywność operacyjną, ale jednocześnie może prowadzić do powstania luki strukturalnej, jeśli bezpieczeństwo nie nadąża za zmianami architektury.

Analiza techniczna

Sednem problemu jest charakterystyka protokołów takich jak Modbus, które nie oferują natywnego uwierzytelniania ani szyfrowania. Jeżeli urządzenie nasłuchuje publicznie na porcie 502, napastnik może wysyłać poprawne zapytania odczytu lub zapisu rejestrów bez konieczności przełamywania typowych zabezpieczeń aplikacyjnych.

W praktyce umożliwia to pozyskanie danych o wartościach napięcia, temperatury, ciśnienia, stanach wejść i wyjść, licznikach energii czy wskaźnikach jakości zasilania. Szczególnie groźne jest również ujawnianie metadanych, takich jak wersja firmware’u, identyfikator produktu czy nazwa producenta, ponieważ znacząco ułatwia to rekonesans i dobór technik ataku.

dopasowanie publicznie dostępnych map rejestrów,
odszukanie dokumentacji technicznej i instrukcji serwisowych,
ustalenie prawdopodobnej funkcji urządzenia w procesie przemysłowym,
weryfikację znanych podatności konkretnej platformy,
przygotowanie scenariusza manipulacji parametrami procesu.

Nawet jeśli urządzenie nie ujawnia pełnej identyfikacji, analiza zmian wartości rejestrów w czasie może pomóc w określeniu jego roli. To pozwala rozróżnić na przykład licznik energii od sterownika procesu lub modułu wejść/wyjść i lepiej dopasować dalsze działania ofensywne.

Konsekwencje / ryzyko

Bezpośrednio wystawione urządzenia ICS generują kilka warstw ryzyka jednocześnie. Pierwsza dotyczy rozpoznania środowiska, czyli możliwości zbudowania szczegółowego obrazu infrastruktury OT organizacji. Druga wiąże się z zakłóceniem pracy, gdy odczyt lub zapis rejestrów wpływa na decyzje systemów nadrzędnych albo operatorów.

Najpoważniejsza warstwa dotyczy bezpieczeństwa fizycznego i ciągłości działania. W środowisku przemysłowym incydent cybernetyczny może prowadzić do awarii procesu, przestoju linii produkcyjnej, zaburzeń w dystrybucji energii, a w skrajnych przypadkach do zagrożenia dla ludzi, środowiska i usług krytycznych.

Dodatkowym problemem pozostaje długi cykl życia urządzeń OT. Aktualizacje są wdrażane wolniej niż w klasycznym IT, często ze względu na certyfikacje, zależności od integratorów i ryzyko zatrzymania produkcji. To sprawia, że znane słabości mogą pozostawać aktywne przez długi czas, a internetowa widoczność takiego urządzenia staje się dla przeciwnika atrakcyjnym punktem wejścia.

Rekomendacje

Podstawowym zaleceniem jest całkowite wyeliminowanie bezpośredniej ekspozycji urządzeń ICS do internetu. Jeżeli zdalny dostęp jest konieczny, powinien być realizowany wyłącznie przez ściśle kontrolowane mechanizmy pośrednie, takie jak VPN z silnym uwierzytelnianiem wieloskładnikowym, segmentowane strefy dostępu i bramy administracyjne z pełnym rejestrowaniem sesji.

przeprowadzić pełną inwentaryzację zasobów OT i zweryfikować ekspozycję publiczną,
zablokować ruch do portów przemysłowych na granicy sieci,
wdrożyć segmentację między IT i OT oraz mikrosegmentację wewnątrz OT,
usunąć domyślne konta i hasła oraz stosować silne uwierzytelnianie tam, gdzie to możliwe,
ograniczyć ujawnianie informacji o urządzeniach w odpowiedziach usług i interfejsach zarządzających,
monitorować ruch Modbus, DNP3 i BACnet pod kątem nietypowych poleceń,
aktualizować firmware i komponenty komunikacyjne zgodnie z planem zarządzania podatnościami,
testować procedury reagowania na incydenty wspólnie dla zespołów IT, OT i utrzymania ruchu,
utrzymywać kopie zapasowe konfiguracji sterowników, HMI i serwerów inżynierskich,
regularnie wykonywać zewnętrzne skany ekspozycji oraz walidację konfiguracji sieciowej.

W środowiskach krytycznych warto przyjąć zasadę, że protokoły przemysłowe nie powinny być routowane przez publiczny internet w swojej natywnej postaci. Jeżeli organizacja potrzebuje zdalnej telemetrii lub serwisu, powinna stosować rozwiązania pośredniczące i architekturę obrony warstwowej.

Podsumowanie

Internetowa ekspozycja urządzeń ICS pozostaje jednym z najbardziej podstawowych, a zarazem najgroźniejszych błędów bezpieczeństwa w środowiskach OT. Problem wynika nie tylko z samej obecności urządzenia w sieci publicznej, lecz także z właściwości protokołów przemysłowych, które nie zapewniają poufności i uwierzytelniania.

Dla operatorów infrastruktury krytycznej oznacza to konieczność szybkiego ograniczenia powierzchni ataku, wdrożenia twardej segmentacji, kontrolowanego zdalnego dostępu i ciągłego monitorowania komunikacji przemysłowej. W miarę postępu cyfryzacji przemysłu zaniedbania w tym obszarze będą prowadzić do coraz poważniejszych skutków operacyjnych i bezpieczeństwa.

Źródła

Security Affairs — https://securityaffairs.com/190525/ics-scada/internet-exposed-ics-devices-raise-alarm-for-critical-sectors.html
CISA — Cybersecurity Best Practices for Industrial Control Systems — https://www.cisa.gov/resources-tools/resources/cybersecurity-best-practices-industrial-control-systems
CISA — APT Cyber Tools Targeting ICS/SCADA Devices — https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-103a
CISA — Common Cybersecurity Vulnerabilities in Industrial Control Systems — https://www.cisa.gov/sites/default/files/recommended_practices/DHS_Common_Cybersecurity_Vulnerabilities_ICS_2010.pdf
CISA — Cybersecurity Best Practices for Industrial Control Systems (PDF) — https://www.cisa.gov/sites/default/files/publications/Cybersecurity_Best_Practices_for_Industrial_Control_Systems.pdf

APT28 i PRISMEX: zaawansowana kampania cyberszpiegowska wymierzona w Ukrainę i infrastrukturę sojuszników

Wprowadzenie do problemu / definicja

APT28, znana również jako Fancy Bear, Pawn Storm lub Sofacy, to jedna z najbardziej rozpoznawalnych grup APT powiązywanych z operacjami cyberszpiegowskimi realizowanymi w interesie Federacji Rosyjskiej. Najnowsza kampania przypisywana temu aktorowi pokazuje wysoki poziom dojrzałości operacyjnej oraz skuteczne łączenie socjotechniki, exploitów, technik ukrywania kodu i nadużycia legalnych usług chmurowych.

W analizowanej operacji kluczową rolę odgrywa zestaw malware PRISMEX. Atakujący wykorzystują go do uzyskania trwałego dostępu, prowadzenia rozpoznania, eksfiltracji danych oraz potencjalnego przygotowania gruntu pod dalsze działania zakłócające. Cele kampanii obejmują Ukrainę i organizacje wspierające jej wysiłek obronny, w tym podmioty z Europy Środkowo-Wschodniej.

W skrócie

Kampania aktywna co najmniej od września 2025 roku rozpoczyna się od wiadomości spear phishingowych z załącznikami RTF. Po otwarciu dokumentu dochodzi do uruchomienia exploitu CVE-2026-21509, który pozwala wymusić połączenie z kontrolowanym przez napastników zasobem i pobranie złośliwego pliku LNK.

Dalszy łańcuch infekcji prowadzi do wdrożenia komponentów PRISMEX odpowiedzialnych za trwałość, uruchamianie kodu w pamięci, ukrywanie ładunków w plikach graficznych oraz komunikację z infrastrukturą C2 przy użyciu szyfrowanych kanałów maskowanych jako legalny ruch sieciowy. Operacja ma charakter wywiadowczy, ale jej profil wskazuje również na możliwość wykorzystania uzyskanego dostępu do zakłóceń logistycznych i operacyjnych.

Kontekst / historia

APT28 od lat prowadzi ofensywne działania przeciwko administracji publicznej, wojsku, sektorowi obronnemu oraz infrastrukturze krytycznej. Wcześniejsze kampanie tej grupy wielokrotnie opierały się na szybkim uzbrajaniu nowych podatności, wieloetapowych atakach phishingowych i długotrwałej obecności w środowiskach ofiar.

Obecna operacja wpisuje się w ten schemat, ale jednocześnie rozszerza go o bardziej taktyczne cele. Wśród potencjalnych ofiar znajdują się organizacje związane z obronnością, logistyką, transportem, pomocą międzynarodową oraz danymi hydrometeorologicznymi. Taki dobór nie jest przypadkowy, ponieważ informacje o pogodzie, łańcuchach dostaw i ruchu zasobów mogą mieć bezpośrednie znaczenie dla planowania działań wojskowych i wsparcia operacyjnego.

Istotny jest również moment wykorzystania luk. Część infrastruktury kampanii miała zostać przygotowana jeszcze przed publicznym ujawnieniem jednej z podatności, a druga mogła być wykorzystywana jako zero-day przed opublikowaniem poprawek. To sugeruje bardzo dobre przygotowanie oraz wysoki poziom organizacji po stronie operatorów.

Analiza techniczna

Łańcuch ataku rozpoczyna się od spear phishingu. Wiadomości są stylizowane na komunikaty dotyczące ostrzeżeń meteorologicznych, zaproszeń do szkoleń wojskowych albo alertów związanych z przemytem broni. Załączony dokument RTF uruchamia CVE-2026-21509, czyli lukę typu security feature bypass w mechanizmie OLE pakietu Microsoft Office.

W praktyce podatność pozwala wymusić użycie obiektu COM Shell.Explorer.1 oraz połączenie z zasobem WebDAV kontrolowanym przez napastników. Z tego miejsca automatycznie pobierany i uruchamiany jest złośliwy skrót LNK, który inicjuje kolejne etapy infekcji.

Analizy wskazują także na możliwe wykorzystanie CVE-2026-21513. Podatność dotyczy logiki obsługi hyperlinków w komponencie ieframe.dll i może umożliwiać uruchamianie lokalnych lub zdalnych zasobów poza oczekiwanym kontekstem bezpieczeństwa. Współdzielona infrastruktura i zbieżność czasowa sugerują, że oba exploity mogły zostać połączone w jeden dwustopniowy łańcuch ataku.

Po uzyskaniu wykonania kodu wdrażany jest zestaw PRISMEX, składający się z kilku współpracujących komponentów:

PrismexSheet – dokument Excel z makrami VBA wykorzystujący wiarygodne pliki-przynęty, takie jak wykazy dronów, formularze logistyczne czy cenniki dostawców.
PrismexDrop – komponent odpowiedzialny za deszyfrowanie ładunków, zapis artefaktów na dysku i ustanawianie trwałości, m.in. przez COM hijacking oraz zadania harmonogramu.
PrismexLoader – proxy DLL podszywające się pod legalne biblioteki systemowe i uruchamiające złośliwy kod równolegle z prawidłową funkcjonalnością.
PrismexStager – moduł końcowy odpowiedzialny za komunikację C2 i wykonywanie poleceń operatorów, bazujący na frameworku Covenant i silnie zaciemniony.

Na szczególną uwagę zasługuje metoda steganografii zastosowana w PrismexLoader. Ładunek ukrywany jest w obrazach PNG przy użyciu techniki określanej jako „Bit Plane Round Robin”, w której bity są rozpraszane w strukturze pliku i odczytywane wieloetapowo. Takie podejście utrudnia wykrycie złośliwej zawartości metodami opartymi na prostych analizach LSB.

Cała kampania łączy kilka zaawansowanych technik unikania detekcji: fileless execution, wykonywanie kodu .NET w pamięci, wykorzystywanie zaufanych procesów systemowych, ukrywanie payloadów w obrazach oraz maskowanie komunikacji C2 jako zwykłego ruchu do usług chmurowych. To model charakterystyczny dla nowoczesnych operacji APT nastawionych na długotrwałą obecność w środowisku ofiary.

Konsekwencje / ryzyko

Ryzyko związane z kampanią jest wysokie zarówno z perspektywy bezpieczeństwa informacji, jak i odporności operacyjnej. Atakujący koncentrują się na podmiotach o znaczeniu strategicznym: administracji, sektorze obronnym, służbach ratunkowych, logistyce oraz organizacjach wspierających transfer pomocy i sprzętu.

Dla zaatakowanych organizacji oznacza to możliwość przejęcia stacji roboczych, utraty poufnych dokumentów, mapowania infrastruktury, a także utrzymania niezauważonej obecności przez dłuższy czas. W sektorze logistycznym skutkiem może być rozpoznanie tras, harmonogramów, stanów magazynowych czy partnerów uczestniczących w łańcuchu dostaw.

W strukturach wojskowych i administracyjnych potencjalne szkody obejmują ujawnienie planów operacyjnych, danych o dostawcach, informacji meteorologicznych oraz komunikacji wewnętrznej. Co ważne, choć kampania ma wyraźny komponent wywiadowczy, charakter doboru celów i użyte techniki wskazują, że zdobyty dostęp może zostać wykorzystany również do sabotażu lub zakłócania procesów biznesowych i operacyjnych.

Rekomendacje

Organizacje działające w sektorach publicznym, obronnym, transportowym, logistycznym i pomocowym powinny traktować tę kampanię jako zagrożenie podwyższonego ryzyka. Kluczowe działania obronne obejmują:

natychmiastowe wdrażanie poprawek dla komponentów Microsoft Office, MSHTML i mechanizmów obsługi dokumentów oraz linków,
ograniczenie makr i aktywnej zawartości w dokumentach pochodzących z internetu,
blokowanie lub silne ograniczanie uruchamiania plików LNK z nietypowych lokalizacji,
monitorowanie połączeń WebDAV inicjowanych przez aplikacje biurowe,
detekcję zachowań związanych z COM hijackingiem i nietypowymi zmianami w rejestrze,
rozszerzone logowanie EDR/XDR obejmujące ładowanie proxy DLL, kod .NET wykonywany w pamięci oraz nietypowe procesy potomne aplikacji Office,
inspekcję ruchu do usług chmurowych pod kątem anomalii behawioralnych,
segmentację sieci i ograniczenie uprawnień w celu utrudnienia ruchu lateralnego,
prowadzenie ćwiczeń typu assume breach,
szkolenia antyphishingowe uwzględniające przynęty związane z obronnością, pogodą, transportem i pomocą humanitarną.

W praktyce samo blokowanie wskaźników IOC może nie wystarczyć. Skuteczniejsza będzie detekcja behawioralna oparta na korelacji kilku zdarzeń, takich jak otwarcie dokumentu RTF, połączenie WebDAV, wykonanie pliku LNK, modyfikacje mechanizmów COM i późniejsza komunikacja szyfrowana do usług chmurowych.

Podsumowanie

Kampania APT28 z użyciem PRISMEX pokazuje dojrzały, wielowarstwowy model ataku łączący socjotechnikę, szybkie wykorzystanie podatności, steganografię i nadużycie legalnych usług do ukrycia komunikacji C2. Nie jest to incydent masowy, lecz precyzyjnie wymierzona operacja przeciwko organizacjom o znaczeniu strategicznym dla Ukrainy i jej partnerów.

Z perspektywy obrońców najważniejsze są trzy wnioski. Po pierwsze, spear phishing pozostaje niezwykle skutecznym wektorem wejścia nawet w operacjach najwyższej klasy. Po drugie, legalne procesy i usługi chmurowe coraz częściej służą jako osłona dla złośliwej aktywności. Po trzecie, organizacje funkcjonujące w kontekście geopolitycznym muszą zakładać, że klasyczne zabezpieczenia prewencyjne nie będą wystarczające, a kluczowe znaczenie będą miały szybka detekcja anomalii, segmentacja i gotowość do reakcji incydentowej.

Źródła

Security Affairs — https://securityaffairs.com/190510/apt/russia-linked-apt28-uses-prismex-to-infiltrate-ukraine-and-allied-infrastructure-with-advanced-tactics.html
Trend Micro — Pawn Storm Campaign Deploys PRISMEX, Targets Government and Critical Infrastructure Entities — https://www.trendmicro.com/en_us/research/26/c/pawn-storm-targets-govt-infra.html
Microsoft Security Response Center — CVE-2026-21513 — https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21513
NIST NVD — CVE-2026-21513 — https://nvd.nist.gov/vuln/detail/CVE-2026-21513
CERT-UA — artykuł powiązany z aktywnością grupy — https://cert.gov.ua/article/6284080

Fancy Bear nasila globalne operacje cybernetyczne. APT28 łączy PRISMEX, phishing i przejęcia routerów

Wprowadzenie do problemu / definicja

APT28, znana również jako Fancy Bear, Forest Blizzard lub Pawn Storm, pozostaje jedną z najbardziej rozpoznawalnych grup cyberszpiegowskich powiązanych z rosyjskim wywiadem wojskowym. Najnowsze kampanie pokazują, że ugrupowanie nadal prowadzi szeroko zakrojone operacje przeciwko administracji publicznej, sektorowi obronnemu, infrastrukturze krytycznej oraz organizacjom wspierającym Ukrainę i państwa sojusznicze.

Na szczególną uwagę zasługuje fakt, że APT28 nie opiera swoich działań wyłącznie na zaawansowanych exploitach. Grupa skutecznie łączy nowe komponenty malware, techniki obejścia zabezpieczeń i klasyczne metody, takie jak spear phishing, kradzież poświadczeń czy nadużycia słabiej chronionych urządzeń sieciowych.

W skrócie

Fancy Bear kontynuuje globalne działania ofensywne wymierzone w cele rządowe, wojskowe i strategiczne.
W ostatnich kampaniach wykorzystywano zestaw malware PRISMEX, ataki na poświadczenia NTLMv2 oraz podatności w Microsoft Outlook i środowisku Windows.
Istotnym elementem operacji stały się również przejęcia routerów SOHO i scenariusze DNS hijacking.
Skuteczność grupy wynika z połączenia zaawansowanych narzędzi z dobrze znanymi, nadal efektywnymi technikami ataku.

Kontekst / historia

APT28 od lat jest kojarzona z operacjami cyberszpiegowskimi i działaniami zgodnymi z interesami geopolitycznymi Federacji Rosyjskiej. Grupa funkcjonuje co najmniej od połowy pierwszej dekady XXI wieku i była wielokrotnie łączona z atakami na instytucje rządowe, wojsko, organizacje międzynarodowe, sektor obronny oraz podmioty infrastruktury krytycznej.

Obecna fala aktywności potwierdza trwałość i zdolność adaptacji tego aktora. Z jednej strony obserwowane są nowe łańcuchy infekcji oraz malware wspierające szpiegostwo i potencjalny sabotaż. Z drugiej strony APT28 nadal skutecznie wykorzystuje klasyczne wektory wejścia, takie jak phishing, przejęcia poświadczeń, utrzymywanie starszych mechanizmów uwierzytelniania czy kompromitacja brzegowych urządzeń sieciowych.

Taka strategia sprawia, że zagrożone pozostają nie tylko największe instytucje państwowe. Ryzyko dotyczy również mniejszych organizacji, które mogą stanowić pośredni cel w łańcuchu dostaw i zostać wykorzystane do dotarcia do bardziej wartościowych zasobów.

Analiza techniczna

Jednym z kluczowych elementów ostatnich ustaleń jest kampania oparta na zestawie PRISMEX. Narzędzie to powiązano z atakami wymierzonymi w podmioty związane z obronnością Ukrainy oraz państw wspierających w Europie Środkowo-Wschodniej i w regionie NATO. Technicznie kampania obejmuje wieloetapowy łańcuch infekcji, łączący uruchamianie złośliwego kodu, obchodzenie zabezpieczeń, nadużycia komponentów COM oraz komunikację przez legalne usługi chmurowe wykorzystywane jako kanały C2.

Takie podejście znacząco utrudnia detekcję. Część ruchu sieciowego i artefaktów może wyglądać jak zwykła aktywność systemowa lub biznesowa, co pozwala napastnikom dłużej pozostawać niezauważonymi w środowisku ofiary. Dodatkowo PRISMEX nie ogranicza się wyłącznie do rozpoznania i eksfiltracji danych. W analizach wskazano również komponenty o charakterze sabotażowym, w tym polecenia mogące pełnić funkcję wipera.

Drugim ważnym obszarem aktywności były ataki relay związane z poświadczeniami NTLMv2. W scenariuszu tym wykorzystywano podatność Outlooka CVE-2023-23397. Odpowiednio spreparowane wiadomości lub pliki kalendarza mogły inicjować połączenie z serwerem SMB kontrolowanym przez napastnika, co umożliwiało pozyskanie wartości Net-NTLMv2 i ich dalsze użycie wobec systemów akceptujących NTLM. To szczególnie niebezpieczne w organizacjach, które nadal utrzymują starsze modele uwierzytelniania.

Uzupełnieniem tych operacji były kampanie phishingowe, kradzież poświadczeń oraz wykorzystanie infrastruktury maskującej, takiej jak VPN, Tor, adresy centrów danych i przejęte routery. Takie warstwowe podejście pokazuje, że APT28 nie opiera się na jednej technice, lecz elastycznie dobiera metody do charakteru celu i spodziewanego efektu operacyjnego.

Szczególnie istotny jest wątek kompromitacji routerów SOHO. Z opublikowanych ostrzeżeń wynika, że operatorzy Fancy Bear przejmowali podatne urządzenia brzegowe i modyfikowali ich ustawienia DNS oraz DHCP. Umożliwiało to przekierowywanie ruchu ofiar przez infrastrukturę kontrolowaną przez atakujących, realizację scenariuszy DNS hijacking oraz ataki typu adversary-in-the-middle. W praktyce oznacza to możliwość przechwytywania poświadczeń, tokenów sesyjnych oraz manipulowania ruchem do usług webowych i pocztowych.

Konsekwencje / ryzyko

Najważniejszy wniosek z obecnych kampanii jest prosty: do skutecznego działania APT28 nie są potrzebne wyłącznie najbardziej zaawansowane luki typu zero-day. Równie groźne okazują się zaniedbania w podstawowej higienie bezpieczeństwa, takie jak niezałatane systemy, brak wieloskładnikowego uwierzytelniania, utrzymywanie NTLM, słabe hasła administracyjne czy niewystarczająca segmentacja dostępu.

Ryzyko dla organizacji ma charakter wielowymiarowy. Po pierwsze, istnieje zagrożenie klasycznym cyberszpiegostwem, czyli kradzieżą dokumentacji, planów logistycznych, danych operacyjnych i informacji o łańcuchu dostaw. Po drugie, w środowiskach o wysokim znaczeniu strategicznym należy liczyć się z możliwością działań zakłócających, w tym niszczenia danych lub przygotowania gruntu pod późniejsze operacje destrukcyjne. Po trzecie, przejęcie urządzeń SOHO rozszerza powierzchnię ataku na pracę zdalną i infrastrukturę znajdującą się poza centralnie zarządzaną siecią korporacyjną.

Warto też podkreślić, że celem nie muszą być wyłącznie największe instytucje. Mniejsze firmy, lokalna administracja czy partnerzy technologiczni również mogą zostać wykorzystani jako słabsze ogniwa prowadzące do właściwego celu. To klasyczny model ataku na łańcuch dostaw, który pozostaje wyjątkowo skuteczny wobec rozproszonych ekosystemów współpracy.

Rekomendacje

Organizacje powinny potraktować opisane kampanie jako wyraźny sygnał do przeglądu zarówno podstawowych, jak i bardziej zaawansowanych mechanizmów ochrony. W pierwszej kolejności konieczne jest szybkie wdrażanie poprawek bezpieczeństwa dla systemów Windows, Microsoft Office, Outlooka oraz urządzeń sieciowych, w tym routerów wykorzystywanych w pracy zdalnej i małych oddziałach.

Regularnie aktualizować systemy operacyjne, aplikacje biurowe i firmware urządzeń brzegowych.
Usunąć domyślne poświadczenia na routerach oraz kontrolować zmiany ustawień DNS i DHCP.
Wymusić MFA dla dostępu do usług krytycznych i administracyjnych.
Ograniczać lub wyłączać NTLM tam, gdzie to możliwe, oraz wdrażać zasadę najmniejszych uprawnień.
Segmentować sieć i ograniczać zaufanie do urządzeń spoza środowiska zarządzanego.
Monitorować nietypowe połączenia SMB, anomalie DNS, użycie usług chmurowych jako potencjalnych kanałów C2 oraz zmiany konfiguracji routerów.
Prowadzić szkolenia z rozpoznawania spear phishingu i innych technik socjotechnicznych.

Mniejsze organizacje powinny dodatkowo rozważyć wsparcie zewnętrzne, takie jak usługi MDR, współpracę z branżowymi centrami wymiany informacji o zagrożeniach oraz integrację z krajowymi strukturami reagowania. W przypadku działań prowadzonych przez zaawansowanego aktora państwowego szybka detekcja i odpowiedź mają kluczowe znaczenie.

Podsumowanie

Najnowsze kampanie Fancy Bear potwierdzają, że siła tej grupy nie wynika wyłącznie z dostępu do zaawansowanych narzędzi, lecz przede wszystkim z umiejętnego łączenia klasycznych technik z nowoczesnym malware i elastyczną infrastrukturą operacyjną. PRISMEX, ataki na NTLMv2, nadużycia podatności Outlooka oraz kompromitacja routerów SOHO tworzą obraz przeciwnika, który skutecznie działa zarówno na poziomie endpointów, jak i warstwy sieciowej.

Dla obrońców najważniejszy wniosek jest praktyczny: szybkie łatanie systemów, silna kontrola tożsamości, segmentacja sieci oraz konsekwentne wdrażanie zasad zero trust pozostają najskuteczniejszą odpowiedzią na działania APT28. W starciu z takim przeciwnikiem przewagę daje nie spektakularna technologia, lecz dobrze realizowane podstawy bezpieczeństwa.