Pomagamy Zrozumieć i Wdrażać Bezpieczeństwo
Dyrektywa NIS2 stawia przed organizacjami szereg nowych wymogów z zakresu cyberbezpieczeństwa. Zrozumienie specjalistycznych terminów używanych w regulacjach i wytycznych NIS2 jest kluczowe dla menedżerów, specjalistów IT oraz ekspertów ds. cyberbezpieczeństwa odpowiedzialnych za zgodność z tymi przepisami.
Czytaj dalej „Glosariusz Kluczowych Terminów Dyrektywy NIS2”
Federalna Komisja Łączności (FCC) ogłosiła, że na posiedzeniu otwartym 20 listopada 2025 r. podda pod głosowanie uchylenie styczniowego „declaratory ruling”, które po atakach Salt Typhoon miało skłonić operatorów do wdrożenia minimalnych praktyk cyberbezpieczeństwa i corocznych certyfikacji planów zarządzania ryzykiem. Nowe kierownictwo FCC, z przewodniczącym Brendanem Carrem, uznaje tamto rozstrzygnięcie za „bezprawne i niepotrzebne” oraz zapowiada odejście od ujednoliconego reżimu na rzecz dobrowolnych działań i partnerstw publiczno-prywatnych.
W grudniu 2024 r. i w styczniu 2025 r. ujawniono skalę kompromitacji wielu operatorów (AT&T, Verizon, Lumen i innych) przez grupę Salt Typhoon. Ówczesna szefowa FCC, Jessica Rosenworcel, zaproponowała ramy bezpieczeństwa wymuszające podstawowe praktyki i coroczne atesty. Rozwiązanie przeszło w styczniu jednym głosem, a nowy przewodniczący Brendan Carr pozostawał jego krytykiem. Dziś – już jako szef FCC – dąży do odwrócenia kursu.
Projekt Order on Reconsideration / Fact Sheet (DOC-415190A1) enumeruje powyższe tezy wprost („rescinds as unlawful and unnecessary…”, wycofanie NPRM, argumenty o kosztach i ogólności). To właśnie ten dokument ma trafić pod głosowanie 20 listopada.
Dla zespołów bezpieczeństwa w telco i dużych operatorów sieci:
Dla klientów korporacyjnych telco:
30 października 2025 r. opisano kampanię phishingową wykorzystującą wiadomości bezpośrednie na LinkedIn, w której napastnicy podszywają się pod rekruterów/partnerów inwestycyjnych i „zapraszają” dyrektorów finansowych do dołączenia do zarządu nowo powstałego funduszu. Kliknięcie w link prowadzi do łańcucha przekierowań kończącego się stroną typu Adversary-in-the-Middle (AiTM) kradnącą zarówno dane logowania, jak i tokeny sesyjne Microsoft 365 — skutecznie omijając MFA. Kampanię zidentyfikował i zablokował zespół Push Security; szczegóły opisał BleepingComputer.
To druga w ciągu ~6 tygodni kampania LinkedIn-owa opisana przez Push Security, po wrześniowych spear-phishingach na kadrę kierowniczą firm technologicznych, gdzie użyto podobnych technik: legalnych usług (Google Sites, Microsoft Dynamics), wielowarstwowych przekierowań i mechanizmów antybotowych. Trend wpisuje się w szersze nadużycia „zaufanych” usług (link wrapping, hostingi chmurowe) do maskowania ładunków phishingowych.
1) Przynęta socjotechniczna
Wiadomość na LinkedIn obiecuje prestiżową funkcję w radzie nowego funduszu inwestycyjnego, ukierunkowaną na CFO/VP Finance. Tego typu narracja mocno rezonuje z profilami finansowymi, minimalizując czujność i zwiększając CTR.
2) Łańcuch przekierowań i hosting na legalnych domenach
Atak wykorzystuje otwarte przekierowania Google, a następnie domeny jednorazowe (m.in. payrails-canaccord[.]icu, boardproposalmeet[.]com, sqexclusiveboarddirect[.]icu) i finalnie Firebase Storage stylizowany na „LinkedIn Cloud Share”. Taki miks utrudnia analizę URL i reputacji domen.
3) Anty-sandbox / anty-bot
Przed załadowaniem treści ofierze prezentowana jest bramka Cloudflare Turnstile. Rozwiązania tego typu blokują crawlery i automatyczną analizę proxy/SWG, wydłużając żywotność infrastruktur phishingowych.
4) AitM i kradzież sesji
Po przejściu Turnstile serwowana jest strona logowania Microsoft obsługiwana przez zestaw AiTM. Wprowadzenie hasła i przejście MFA skutkuje przechwyceniem cookies / tokenów i możliwością natychmiastowego przejęcia konta oraz downstream SSO (SharePoint, OneDrive, Teams, aplikacje SaaS).
5) TTP: nadużycia „zaufanych” łańcuchów linków
Badania Cloudflare z 2025 r. pokazują, że przestępcy coraz częściej kaskadują przekierowania przez rozpoznawalne usługi (nawet bezpieczeństwa/marketingu), aby zmylić filtry i analitykę. Obserwacja ta dobrze koreluje z bieżącą kampanią. (wniosek na podstawie zewnętrznego raportu)
Dla SecOps/Blue Team
.icu/.xyz/.top → *.firebasestorage.googleapis.com → bramki Turnstile → nietypowe logowania do Microsoft po „MFA success”.Dla IT/Entra ID/M365
Dla użytkowników VIP (CFO, VP Finance)
CISA i NSA – we współpracy z australijskim ACSC i kanadyjskim Cyber Centre – opublikowały spójny dokument „Microsoft Exchange Server Security Best Practices”, zawierający praktyczne wytyczne hartowania on-premises Exchange’a. Agencje podkreślają, że środowiska Exchange należy traktować jako zagrożone „tu i teraz” oraz wymuszają podejście prewencyjne: minimalny przywilej, szybkie aktualizacje, redukcja powierzchni ataku, silna kryptografia w transporcie.
Nowe wytyczne pojawiają się po serii incydentów i ostrzeżeń – m.in. po wakacyjnej Emergency Directive ED 25-02 dotyczącej poważnej luki w konfiguracjach hybrydowych (CVE-2025-53786), która umożliwia pivot z on-prem do Exchange Online. Nadal tysiące serwerów pozostaje niezałatanych.
Dokument agencji porządkuje obronę w trzech filarach:
Dodatkowo: włączenie funkcji ochronnych Windows/Defender (AMSI, ASR, AppLocker/WDAC) i EDR; własne anty-spam/anty-malware Exchange.
Ribbon Communications — dostawca rozwiązań sieciowych i usług komunikacji chmurowej dla operatorów telekomunikacyjnych oraz klientów rządowych — ujawnił, że jego sieć IT została naruszona przez grupę przypisywaną aktorowi państwowemu. Firma wykryła incydent na początku września 2025 r., a ślady wskazują, że pierwszy dostęp mógł nastąpić już w grudniu 2024 r. Firma zakończyła nieautoryzowany dostęp i prowadzi dochodzenie z udziałem zewnętrznych ekspertów i organów ścigania.
Incydent wpisuje się w serię ujawnionych w latach 2024–2025 operacji cyberszpiegowskich przeciw operatorom telekomunikacyjnym i powiązanym dostawcom infrastruktury. Amerykańskie agencje (CISA, FBI, NSA) ostrzegały m.in. przed kampanią Salt Typhoon wymierzoną w dostawców telekomunikacyjnych w USA i na świecie, obejmującą długotrwałe utrzymywanie dostępu i wykradanie metadanych połączeń oraz treści niezaszyfrowanych komunikacji.
O sprawie Ribbon pisały również serwisy branżowe i agencje prasowe, potwierdzając skalę i charakter ataku (aktor państwowy, długie utrzymanie się w środowisku).
Publiczna dokumentacja ujawnia kluczowe fakty operacyjne, ale nie zawiera szczegółów TTPs (narzędzia, techniki, procedury). Na podstawie zgłoszenia SEC wiadomo, że:
Biorąc pod uwagę wcześniejsze kampanie przeciw telkomom (np. Salt Typhoon), realistyczny scenariusz obejmuje mieszankę technik: spear-phishing i/lub nadużycie dostawcy zewnętrznego (Initial Access), długotrwałe living-off-the-land, kradzież poświadczeń, pivotowanie do zasobów z danymi klientów oraz ostrożną eksfiltrację porcji danych, by nie wywoływać alarmów. Jest to inferencja na podstawie publicznych porad bezpieczeństwa dot. tej klasy kampanii.
Dla klientów i partnerów Ribbon (CISO, SecOps, GRC):
Dla samych operatorów telco i dostawców infrastruktury:
W przeciwieństwie do głośnych wycieków z 2024–2025, gdzie agencje USA potwierdzały kradzież danych podsłuchowych i metadanych u wielu operatorów (kampania Salt Typhoon), w sprawie Ribbon nie ma obecnie dowodów na eksfiltrację informacji materialnych spółki; potwierdzono natomiast wgląd w wybrane pliki klientów na endpointach poza główną siecią. Innymi słowy: charakter szkód wygląda bardziej na punktowy incydent w łańcuchu dostaw niż bezpośrednie zagnieżdżenie się w core’owych sieciach telekomowych.
ISA/IEC 62443 to rodzina międzynarodowych standardów cyberbezpieczeństwa dedykowanych systemom automatyki i sterowania przemysłowego (Industrial Automation and Control Systems, IACS) oraz infrastrukturze OT (Operational Technology). Powstała z inicjatywy ISA (International Society of Automation) jako seria ISA-99, a następnie została przyjęta przez IEC pod numerem 62443. Standardy te zostały opracowane konsensualnie przez ekspertów z branży i są jedynym tak kompleksowym, uzgodnionym globalnie zestawem wymagań dla bezpieczeństwa systemów przemysłowych.
Czytaj dalej „FAQ: ISA/IEC 62443 W Praktyce”Conduent — duży wykonawca usług dla administracji publicznej w USA (m.in. systemy Medicaid, child support, EBT, opłaty drogowe) — potwierdził naruszenie danych obejmujące ponad 10 mln osób. Śledztwo wykazało, że intruz utrzymywał dostęp do środowiska Conduent od 21 października 2024 r. do 13 stycznia 2025 r., co umożliwiło kradzież plików związanych z klientami spółki. Wg Conduent, skala dotyczy wielu stanów i sektorów, w tym opieki zdrowotnej oraz świadczeń społecznych.
O incydencie zrobiło się głośno już w styczniu 2025 r., gdy doszło do opóźnień w wypłatach świadczeń (np. w Wisconsin). W kwietniu 2025 r. Conduent złożył do SEC raport 8-K potwierdzający exfiltrację plików związanych z ograniczoną liczbą klientów. Jesienią 2025 r. kolejne zawiadomienia do urzędów stanowych ujawniły pełniejszą skalę — ponad 10,5 mln pacjentów i odbiorców usług mogło zostać dotkniętych.
Dla organizacji publicznych i prywatnych (klienci/BA):
Dla osób, które mogą być objęte powiadomieniem:
W przeciwieństwie do jednorazowych kampanii łańcuchowych (np. podatność MOVEit/Cl0p), przypadek Conduent wygląda na długotrwałe osadzenie w środowisku jednego dostawcy usług back-office, z etapową exfiltracją i wpływem na wiele niezależnych programów publicznych. Kluczowa różnica: brak publicznego, konkretnego CVE i brak (na dziś) potwierdzenia publikacji danych, co utrudnia korelację IoC po stronie klientów. (Wniosek na podstawie porównań w źródłach branżowych i 8-K Conduent).