🔐 Cyber Security Daily News | 09.03.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 1. NEWS
Biały Dom publikuje Narodową Strategię Cybernetyczną Trumpa
6 marca Biały Dom opublikował siedmiostronicowy dokument „President Trump's Cyber Strategy for America", wyznaczający priorytety w cyberprzestrzeni na najbliższe lata. Strategia skupia się na sześciu filarach: kształtowaniu zachowań przeciwników (w tym ofensywne operacje cybernetyczne), promowaniu „rozsądnych regulacji" redukujących biurokratyczne obciążenia branży, modernizacji federalnych sieci rządowych, ochronie infrastruktury krytycznej, utrzymaniu dominacji w nowych technologiach (AI, kryptografia postkwantowa, blockchain) oraz budowie kadr cyberbezpieczeństwa. Równolegle Trump podpisał rozporządzenie nakazujące prokuratorowi generalnemu priorytetowe ściganie cyberprzestępstw i zorganizowanych grup przestępczych — łącznie z sankcjami wobec państw tolerujących cyberprzestępców. Krytycy wskazują, że dokument jest lakoniczny (7 stron zamiast 40 z edycji z 2018 r.), pozbawiony szczegółów wdrożeniowych i powstał, gdy CISA straciła ponad jedną trzecią personelu po cięciach kadrowych. Branżowe organizacje pochwalnie przyjęły zapowiedź odejścia od nadmiarowych regulacji na rzecz szybkości i innowacji.
Źródło: SecurityWeek [EN] | CyberScoop [EN] | SecurityAffairs [EN]
Partnerstwo Anthropic–Mozilla: Claude Opus 4.6 odkrył 22 luki w Firefox
W ramach badawczego partnerstwa z Mozilla, Anthropic ogłosił w piątek (7.03), że model Claude Opus 4.6 zidentyfikował 22 nieznane wcześniej podatności w przeglądarce Firefox — 14 ocenionych jako wysokie, 7 jako umiarkowane, 1 jako niskie. Wszystkie zostały załatane w Firefox 148 (wydanym 24 lutego), co oznacza, że setki milionów użytkowników są już chronione. Szczególnie uderzający jest czas: model wykrył błąd use-after-free w silniku JavaScript w zaledwie 20 minut eksploracji. Liczba znalezionych wysokich podatności stanowi niemal piątą część wszystkich krytycznych łatek nałożonych na Firefox w całym 2025 roku. W testach Claude podjął też próbę tworzenia exploitów — zainwestowano około 4000 dolarów w kredyty API, kończąc sukcesem jedynie w dwóch przypadkach (w tym CVE-2026-2796, CVSS 9.8, błąd JIT w WebAssembly), przy czym exploit działał wyłącznie w środowisku testowym z wyłączonymi zabezpieczeniami. Anthropic otwarcie ostrzega: choć dziś modele AI lepiej wykrywają luki niż je eksploitują, dystans ten może zniknąć szybciej niż się spodziewamy.
Źródło: The Hacker News [EN] | The Register [EN] | Anthropic [EN] | Mozilla Blog [EN]
Ransomware kontra kopie zapasowe: grupy przestępcze przestawiają się na kradzież danych
Według raportu Coalition opartego na danych z ponad 100 000 polis ubezpieczeniowych (USA, Kanada, Wielka Brytania, Australia, Niemcy), ransomware odpowiadało za 21% roszczeń w 2025 r., lecz jego dotkliwość spada — średnia strata obniżyła się o 19% do 262 tys. dolarów. Przyczyna: 86% ofiar odmówiło zapłacenia okupu, a zawodowi negocjatorzy redukują żądania średnio o 65%. W odpowiedzi grupy przestępcze masowo przechodzą na podwójne wymuszenie — jednoczesne szyfrowanie i eksfiltrację danych (70% incydentów), co czyni kopie zapasowe niewystarczającą odpowiedzią. Najbardziej aktywnym wariantem był Akira (25% przypadków, średnie żądanie 926 tys. USD), najwyższe żądania prezentował RansomHub (średnio 2,33 mln USD). VPN-y stanowiły najczęściej kompromitowaną technologię w 59% potwierdzonych ataków. Business Email Compromise (BEC) i Transfer of Funds Fraud łącznie odpowiadały za 58% wszystkich roszczeń, co czyni je dominującą klasą zagrożeń finansowych.
Źródło: Help Net Security [EN]
⚠️ 2. INCYDENTY
Passaic County, NJ: malware zakłóca infrastrukturę telefoniczną i IT samorządu
6 marca 2026 władze hrabstwa Passaic w stanie New Jersey poinformowały o poważnym ataku złośliwego oprogramowania, który zakłócił działanie linii telefonicznych i systemów informatycznych jednostki samorządowej. Incydent nie jest odosobniony — hrabstwo dołącza do rosnącej listy małych gmin i instytucji ochrony zdrowia, które stają się łatwym celem ze względu na ograniczone budżety bezpieczeństwa i niedobory wykwalifikowanych kadr. Szczegóły techniczne ataku nie zostały ujawnione; trwa dochodzenie dotyczące zakresu i skutków incydentu. Specjaliści podkreślają, że samorządy są szczególnie narażone — nierzadko korzystają ze starszego oprogramowania, nie przeprowadzają regularnych audytów i mają ograniczone możliwości szybkiego reagowania.
Źródło: The Record [EN]
Starkiller: nowa platforma PhaaS AitM skutecznie omija MFA w korporacjach
Badacze Abnormal Security ujawnili Starkiller — nową platformę Phishing-as-a-Service oferowaną przez grupę o nazwie Jinkusu. Narzędzie uruchamia instancję Chrome w trybie headless wewnątrz kontenera Docker, który działa jako odwrotny serwer proxy (Adversary-in-the-Middle) między ofiarą a prawdziwą stroną logowania — dzięki czemu przechwytuje jednocześnie dane uwierzytelniające i tokeny sesji, zanim MFA zdąży zadziałać. Panel administracyjny pozwala wybrać markę do podszywania się, zdefiniować słowa kluczowe i zintegrować skracacze URL. Równolegle Datadog ujawnił ewolucję zestawu 1Phish: od prostego harvestera haseł (wrzesień 2025) w rozbudowany, wieloetapowy kit wymierzony w użytkowników 1Password. Oddzielne kampanie wykorzystują przepływ autoryzacji urządzenia OAuth 2.0 (device authorization grant) do kompromitowania kont Microsoft 365 — bez konieczności kradzieży haseł, jedynie tokenów sesji. Rosnąca komercjalizacja platform AitM dramatycznie obniża próg wejścia dla mniej wykwalifikowanych przestępców.
Źródło: The Hacker News [EN]
💡 3. CIEKAWOSTKI
Raport bezpieczeństwa przeglądarek 2026: AI i shadow-SaaS jako nowe ślepe punkty
Keep Aware opublikował raport „State of Browser Security 2026" oparty na telemetrii z 2025 roku. Wynika z niego, że 41% pracowników korporacji korzystało z co najmniej jednego narzędzia AI bezpośrednio w przeglądarce, przy czym każdy z nich używał średnio 1,91 różnych platform AI. Pracownicy regularnie wklejają do tych systemów wewnętrzne dokumenty, kod źródłowy i dane regulowane — często poza kontrolą firmowych narzędzi bezpieczeństwa. Aż 46% wrażliwych danych wysyłanych do aplikacji webowych trafiało do kont prywatnych lub niezweryfikowanych. Raport obalił mit blokowania „nowych" domen phishingowych — ich mediana wieku wynosiła ponad 18 lat, a atakujący masowo korzystają z dobrze znanych, zaufanych infrastruktur. Główne kategorie ataków w przeglądarce to: phishing (29%), złośliwe rozszerzenia (19%) i inżynieria społeczna. Autorzy postulują wdrożenie Browser Detection & Response (BDR) jako uzupełnienia tradycyjnych EDR i systemów SASE.
Źródło: BleepingComputer [EN]
CERT Orange: krajobraz zagrożeń 26.02–04.03.2026 — Smart TV jako proxy i CyberStrikeAI
Najnowsze wydanie Krajobrazu Zagrożeń CERT Orange Polska skupia się na trzech tematach. Po pierwsze, aktywna eksploatacja podatności Cisco SD-WAN Manager pokazuje, że kompromitacja warstwy zarządzania siecią może oznaczać przejęcie kontroli nad całą architekturą organizacji. Po drugie, CERT Orange analizuje nowe zjawisko: urządzenia Smart TV są coraz częściej wykorzystywane jako węzły sieci residential proxy — domowy sprzęt użytkowników staje się nieświadomą częścią globalnej infrastruktury pośredniczącej służącej do obchodzenia zabezpieczeń antyfraudowych. Po trzecie, raport omawia CyberStrikeAI — open-source'owe narzędzie ofensywne coraz szerzej stosowane zarówno przez cyberprzestępców finansowych, jak i przez grupy klasy APT, co utrudnia atrybucję ataków i obniża próg realizacji zaawansowanych operacji.
Źródło: CERT Orange Polska [PL]
CISA KEV: podatność Hikvision z 2017 roku wciąż aktywnie eksploatowana niemal dekadę później
CISA dodała do katalogu KEV dwa nowe wpisy. Pierwszym jest CVE-2017-7921 (CVSS 9.8) — podatność nieprawidłowego uwierzytelnienia w kamerach IP Hikvision, ujawniona i załatana już w 2017 roku, a jednak eksploatowana do dziś; fakt ten jaskrawo ilustruje skalę problemu z aktualizacją oprogramowania sprzętowego urządzeń IoT. Drugim wpisem jest CVE-2021-22681 (CVSS 9.8) — podatność w sterownikach PLC Rockwell Automation (RSLogix/Studio 5000 Logix Designer) umożliwiająca nieautoryzowany dostęp i modyfikację konfiguracji. Federalne agencje cywilne USA mają obowiązek wdrożyć łatki do 27 marca 2026. W kontekście trwającej eskalacji zbrojnej USA–Iran–Izrael aktywne eksploatowanie kamer IP i sterowników ICS nabiera szczególnego wymiaru strategicznego — jak wykazały poprzednie incydenty, atakujący mogą używać skompromitowanych kamer do wywiadowczego wsparcia uderzeń kinetycznych.
Źródło: The Hacker News [EN]
🛡️ 4. OSZUSTWA, SCAMY, EXPLOITY
Bing AI promował złośliwe repozytorium GitHub jako oficjalny instalator OpenClaw
Badacze Huntress ujawnili kampanię, w której przestępcy stworzyli na GitHub fałszywe organizacje i repozytoria podszywające się pod instalatory popularnego agenta AI OpenClaw. Kluczowym wzmacniaczem była wyszukiwarka Bing: samo umieszczenie malware na GitHub wystarczyło, by Bing AI Search wywindował złośliwe repo na szczyt sugestii przy frazie „OpenClaw Windows" — bez żadnego dodatkowego zabiegu promocyjnego. Repozytorium o nazwie openclaw-installer zawierało legalny kod projektu Cloudflare moltworker dla uwiarygodnienia, ale ukrywało archiwum 7-Zip z OpenClaw_x64.exe. Po uruchomieniu instalowało serię loaderów napisanych w Rust, które ładowały infostealery w pamięci: Vidar Stealer (kradzież haseł, portfeli kryptowalut, danych Telegrama i Steam) oraz GhostSocks — malware zamieniające maszynę ofiary w węzeł residential proxy umożliwiający przestępcom ominięcie kontroli antyfraudowych. Kampania była aktywna 2–10 lutego 2026; po zgłoszeniu Huntress konta i repozytoria zostały usunięte — ale identyczne zostały zastąpione już następnego dnia. Eksperci zalecają: zawsze pobieraj oprogramowanie z oficjalnych, zapisanych w zakładkach źródeł — nie z wyników wyszukiwania.
Źródło: The Register [EN] | BleepingComputer [EN] | Malwarebytes [EN]
Alarm: fałszywe SMS-y i e-maile o „zatwierdzeniu kredytu" — jak rozpoznać i co robić
Techno-Senior.com ostrzega przed rosnącą falą wiadomości SMS i e-maili z komunikatem „Kredyt na Twoje dane został zatwierdzony". Celem jest wywołanie paniki — odbiorca, nieświadomy złożonego wniosku, klika odsyłacz „anuluj wniosek" i trafia na stronę phishingową służącą kradzieży danych osobowych i bankowych. Schemat bywa wstępem do wyłudzenia pożyczki w imieniu ofiary lub przejęcia konta bankowego. Ważne zasady: nigdy nie klikaj w linki z takich wiadomości, weryfikuj bezpośrednio z bankiem pod numerem z oficjalnej strony i monitoruj raporty BIK. Jeśli podejrzewasz, że twoje dane zostały użyte do wyłudzenia kredytu, niezwłocznie złóż zastrzeżenie PESEL w systemie Ogólnopolskiej Bazy Danych i zawiadom policję.
Źródło: Techno-Senior [PL]
🌐 5. DEZINFORMACJA, CYBER WONA
MuddyWater/Seedworm: Iran zadomowił się w sieciach banku, lotniska i dostawcy dla przemysłu obronnego USA
Symantec i Carbon Black (Broadcom) opublikowały raport dokumentujący obecność irańskiej grupy APT Seedworm (aka MuddyWater, Mango Sandstorm, Static Kitten) w sieciach kilku organizacji w USA i Kanadzie — i to od początku lutego 2026 r., a więc kilka tygodni przed uderzeniem USA i Izraela w Iran. Wśród ofiar znalazły się: bank, lotnisko, NGO w USA i Kanadzie, a przede wszystkim firma dostarczająca technologię dla przemysłu obronnego i lotniczego z oddziałem w Izraelu. Grupa wdrożyła nowy, nieznany wcześniej backdoor Dindoor (oparty na środowisku wykonawczym Deno dla JavaScript/TypeScript, sygnowany certyfikatem wystawionym na „Amy Cherne") oraz Python-owy backdoor Fakeset. Stwierdzono próbę eksfiltracji danych izraelskiego oddziału firmy do bucketu Wasabi Technologies przez Rclone — nie wiadomo, czy operacja się powiodła. Kluczowy wniosek analityków: fakt, że Seedworm był w tych sieciach zanim padły pierwsze bomby, oznacza, że grupa jest w gotowości do potencjalnych ataków destrukcyjnych. W czerwcu 2025 Seedworm uzyskał dostęp do transmisji z kamer CCTV w Jerozolimie, co zbiegło się z irańskim ostrzałem rakietowym — historia może się powtórzyć.
Źródło: The Hacker News [EN] | SecurityWeek [EN] | Help Net Security [EN] | The Register [EN] | Security Affairs [EN]
Iran mobilizuje ekosystem hakerski po śmierci Chameneiego — 60 grup w 16 krajach
Po uderzeniach lotniczych USA i Izraela 28 lutego 2026 r. i śmierci Najwyższego Przywódcy Alego Chameneiego (1 marca) proirański ekosystem haktywistyczny zmobilizował się w ciągu godzin. Powołano „Electronic Operations Room" pod szyldem Cyber Islamic Resistance — parasol koordynacyjny dla kilkudziesięciu grup z całego świata. CloudSEK odnotował mobilizację ponad 60 grup hakerskich w ciągu pierwszych godzin od eskalacji. Dane za okres 28.02–2.03 wskazują na 149 zgłoszeń ataków DDoS wymierzonych w 110 organizacji w 16 krajach, głównie na instytucje państwowe, finansowe i telekomunikacyjne na Bliskim Wschodzie i w Europie. Handala Hack poinformowała o eksfiltracji ponad 1,3 TB danych z Sharjah National Oil Corporation i Israel Opportunity Energy. Pro-palestyńska grupa DieNet (aktywna od marca 2025) zintensyfikowała kampanie DDoS na infrastrukturę krytyczną USA, a analitycy CERT Orange ostrzegają: po każdej eskalacji kinetycznej irańska aktywność cybernetyczna historycznie wzrastała o kilkaset procent, a dziesiątki tysięcy amerykańskich systemów ICS pozostaje dostępnych z internetu, często bez żadnej ochrony poza domyślnym hasłem fabrycznym.
Źródło: Security.com [EN] | CERT Orange Polska [PL]
Jak zwykle liczę na Wasze komentarze i uwagi, które pozwolą mi jeszcze lepiej dobierać artykuły i ciekawostki z dziedziny cyberbezpieczeństwa.