🔐 Cyber Security Daily News | 28.04.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
Cyberataki na polskie urzędy — posłanka składa interpelację do ministra cyfryzacji
Przez ostatnie kilkanaście miesięcy polska administracja publiczna jest coraz częściej celem ataków ransomware — niektóre urzędy musiały tymczasowo wrócić do obsługi „na papierze". Posłanka Urszula Pasławska (PSL) złożyła w związku z tym interpelację do ministra cyfryzacji, pytając o systemowe wsparcie dla gmin i urzędów wyższego szczebla. Jednostki samorządowe rzadko dysponują budżetem i specjalistami wystarczającymi do skutecznej obrony przed profesjonalnymi grupami ransomware. Interpelacja ma wyjaśnić, jakie mechanizmy ochrony są aktualnie wdrażane i czy planowane jest centralne wsparcie dla zagrożonych placówek. Sprawa sygnalizuje, że ochrona lokalnej administracji trafia coraz silniej do politycznej agendy. To ważny krok — bez systemowych decyzji na szczeblu rządowym pojedyncze urzędy gminy pozostają łatwym łupem dla cyberprzestępców.
Źródło: CyberDefence24 [PL]
Globalny dostawca technologii dla energetyki Itron ujawnia naruszenie bezpieczeństwa
Firma Itron, jeden z największych na świecie dostawców systemów pomiarowych dla sektora energetycznego i wodociągowego, poinformowała SEC (Komisję Papierów Wartościowych i Giełd w USA) o przełamaniu zabezpieczeń swoich systemów IT przez nieznanych sprawców. Po wykryciu incydentu firma natychmiast uruchomiła plan reagowania kryzysowego i zaangażowała zewnętrznych ekspertów ds. bezpieczeństwa. Itron zapewnia, że nieautoryzowana aktywność została w pełni usunięta i nie doszło do naruszenia systemów po stronie klientów. Operacje biznesowe firmy nie zostały zakłócone w żadnym istotnym stopniu. Koszty incydentu mają zostać w znacznej części pokryte przez ubezpieczenie. Sprawa dotyczy dostawcy infrastruktury krytycznej obsługującego m.in. sieci elektryczne i wodociągowe — to wymowne przypomnienie, że sektor energetyczny pozostaje priorytetowym celem dla cyberprzestępców.
Źródło: Infosecurity Magazine [EN], The Register [EN]
Włochy szykują ekstradycję chińskiego obywatela do USA za działalność hakerską
Włoskie władze podjęły formalne kroki w kierunku wydania Stanom Zjednoczonym chińskiego obywatela, któremu zarzuca się poważne przestępstwa hakerskie. Sprawa wpisuje się w szerszy trend — zachodnie służby coraz aktywniej ścigają osoby podejrzewane o działanie na zlecenie chińskiego wywiadu. Ponieważ Chiny standardowo odmawiają ekstradycji własnych obywateli, areszty w państwach trzecich stają się kluczowym narzędziem zachodnich prokuratur. Ewentualna ekstradycja byłaby politycznie znaczącym krokiem, szczególnie w kontekście unijno-chińskich relacji dyplomatycznych. Pełne szczegóły zarzutów nie zostały jeszcze upublicznione. Przypadek ten pokazuje, że skoordynowane działania sojuszników zachodnich przynoszą coraz wyraźniejsze efekty w ściganiu aktorów wspieranych przez państwo.
Źródło: Security Affairs [EN]
🚨 INCYDENTY
ADT — wyciek danych dotknął 5,5 miliona klientów
Firma ADT, jeden z największych w USA dostawców systemów ochrony domów i przedsiębiorstw, potwierdziła poważne naruszenie bezpieczeństwa danych osobowych aż 5,5 miliona klientów. Incydent ma szczególny wymiar symboliczny — to firma, która zawodowo zajmuje się bezpieczeństwem fizycznym, a jej klienci mają w swoich domach kamery, alarmy i czujniki. Na razie nie ujawniono szczegółów dotyczących tego, jakie dokładnie dane wyciekły ani kto stoi za atakiem. Firma notyfikowała odpowiednie organy i prowadzi dochodzenie z udziałem zewnętrznych ekspertów. Dla klientów ADT oznacza to konieczność wzmożonej czujności wobec ewentualnych prób phishingu lub kradzieży tożsamości. To kolejny dowód na to, że nawet firmy specjalizujące się w bezpieczeństwie nie są odporne na cyberataki.
Źródło: BleepingComputer [EN]
ShinyHunters — wycieki z Medtronic (9 mln rekordów), Udemy, Zara i 7-Eleven
Znana z głośnych wycieków grupa hakerska ShinyHunters powróciła z kolejną falą ataków, tym razem uderając jednocześnie w kilka dużych organizacji. Medtronic, globalny producent sprzętu medycznego, oficjalnie potwierdził incydent bezpieczeństwa po tym, jak ShinyHunters ogłosili kradzież ponad 9 milionów rekordów. Równolegle pojawiły się w sieci dane z platformy e-learningowej Udemy, odzieżowego giganta Zara oraz sieci sklepów 7-Eleven — wszystkie rzekomo zdobyte przez tę samą grupę. W przypadku Udemy dane naruszenia są już widoczne w serwisie HaveIBeenPwned, co potwierdza realność wycieku. ShinyHunters to recydywista odpowiedzialny wcześniej m.in. za ataki na Ticketmaster i Santander. Ta skala pokazuje, że grup przestępczych klasy ShinyHunters nie powstrzymuje żaden sektor — uderzają w medycynę, edukację, handel detaliczny. Jeśli korzystasz z któregokolwiek z wymienionych serwisów, zmień hasło jak najszybciej.
Źródło: BleepingComputer [EN], Hackread [EN], HaveIBeenPwned [EN]
Złośliwa aktualizacja Bitwarden CLI — atak na łańcuch dostaw powiązany z Checkmarx
Znany menedżer haseł Bitwarden — a konkretnie jego narzędzie konsolowe (CLI) — padł ofiarą ataku na łańcuch dostaw. Złośliwa wersja pakietu (2026.4.0) była dostępna w repozytorium npm przez zaledwie około 1,5 godziny, ale w tym czasie potrafiła wykraść tokeny GitHub i npm, klucze SSH, sekrety chmurowe (AWS, GCP, Azure) oraz pliki konfiguracyjne narzędzi AI. Badacze łączą atak z grupą TeamPCP, odpowiedzialną wcześniej za naruszenie infrastruktury firmy Checkmarx — dostawcy narzędzi bezpieczeństwa aplikacji. Bitwarden zapewnił, że nie ma dowodów na skradzenie przechowywanych haseł. Złośliwa paczka jest już niedostępna w npm. Każda osoba, która pobierała Bitwarden CLI w tym czasie, powinna natychmiast usunąć tę wersję i zresetować wszystkie poświadczenia użyte na danym urządzeniu.
Źródło: The Hacker News [EN]
💡 CIEKAWOSTKI
Fast16 — złośliwy kod sprzed ery Stuxneta, który przepisuje historię cyberataków
Badacze ujawnili istnienie złośliwego oprogramowania Fast16, które działało na długo przed słynnym Stuxnetem — cyberbroni przypisywanej USA i Izraelowi, zaprojektowanej do sabotowania irańskiego programu jądrowego. Fast16 celowało w oprogramowanie do precyzyjnej inżynierii przemysłowej, co wskazuje na sponsorowanego przez państwo, zaawansowanego technicznie aktora. To odkrycie zasadniczo zmienia historię cyberataków na infrastrukturę krytyczną — sabotaż systemów przemysłowych nie zaczął się w 2010 roku. Autorstwo malware pozostaje nieujawnione. Analiza techniczna wskazuje na cechy charakterystyczne dla operacji wywiadowczych na poziomie państwowym. Eksperci podkreślają, że wiele historycznych operacji cybernetycznych mogło przez lata pozostawać w cieniu lub właśnie teraz jest odkrywanych dzięki nowym metodom analizy. To ważny kontekst dla zrozumienia, jak długo trwa militaryzacja cyberprzestrzeni.
Źródło: Dark Reading [EN], Security Affairs [EN], CySecurity News [EN]
Dziesiątki popularnych rozszerzeń przeglądarek sprzedają Twoje dane — i robią to legalnie
Firma LayerX Security ujawniła, że ponad 80 popularnych rozszerzeń do przeglądarek zastrzega sobie prawo do sprzedaży danych użytkowników — i robi to całkowicie zgodnie z prawem, ukrywając stosowne zapisy w politykach prywatności, których praktycznie nikt nie czyta. Blokery reklam, narzędzia do streamingu i aplikacje produktywności z łącznie milionami instalacji znalazły się na tej liście. Co gorsza, aż 71% rozszerzeń w Chrome Web Store w ogóle nie publikuje polityki prywatności. Szczególnie niepokojąca była sieć 24 rozszerzeń powiązanych z wielkimi platformami streamingowymi (Netflix, Disney+, HBO Max), które śledziły nawyki oglądania ponad 800 tysięcy użytkowników i budowały ich profile demograficzne. Na listę trafiły też dziesiątki rozszerzeń biznesowych zbierających dane z wewnętrznych systemów firmowych. Warto dziś przejrzeć listę zainstalowanych wtyczek i usunąć wszystkie, z których aktywnie nie korzystamy.
Źródło: Infosecurity Magazine [EN]
Masjesu — komercyjny botnet DDoS-for-hire atakuje urządzenia IoT od 2023 roku
Analitycy z Trellix opisali Masjesu (znany też jako XorBot) — komercyjny botnet oferujący ataki DDoS na wynajem, aktywny od 2023 roku i nadal rozwijający się w 2026. Jest reklamowany na Telegramie w języku angielskim i chińskim, a klientom oferuje ataki o mocy setek gigabitów na sekundę. Botnet wyróżnia się naciskiem na dyskrecję i długowieczność — celowo omija adresy IP wojska i rządów, by nie prowokować organów ścigania. Infekuje routery, kamery, rejestratory DVR od marek takich jak D-Link, Huawei, TP-Link i NETGEAR, korzystając z dziesiątek exploitów. Ruch atakujący pochodzi głównie z Wietnamu (blisko połowa), Ukrainy, Iranu i Brazylii. Autorstwo botnetu zostało przypisane z dużym prawdopodobieństwem tureckiemu obywatelowi działającemu pod pseudonimem "synmaestro". Dla każdego posiadacza domowego routera to sygnał: regularnie aktualizuj firmware i zmień domyślne hasło administratora.
Źródło: Kapitan Hack [PL]
🎣 OSZUSTWA, SCAMY, EXPLOITY
108 złośliwych rozszerzeń Chrome dzieli wspólną infrastrukturę C2 — 20 000 ofiar
Badacze z Socket zidentyfikowali 108 złośliwych rozszerzeń do Chrome, które — choć publikowane z pięciu różnych kont — kontaktują się z tą samą infrastrukturą sterowania (C2), działając jako jedna skoordynowana kampania. Łącznie zebrały około 20 tysięcy instalacji. Połowa z nich wykrada dane kont Google, jedno w trybie ciągłym co 15 sekund kradnie aktywne sesje Telegram Web, inne wstrzykują reklamy na YouTube i TikToku. Co ważne, rozszerzenia działają poprawnie z pozoru — instalując narzędzie do Telegrama naprawdę się je dostaje, a złośliwy kod działa jednocześnie w tle. Atakujący mają też możliwość zdalnego otwierania dowolnej strony w przeglądarce ofiary. Kampania jest starannie zaprojektowana pod różne grupy odbiorców — są tu gry, tłumacze, narzędzia do mediów społecznościowych. Zawsze warto sprawdzić uprawnienia rozszerzenia przed instalacją i unikać tych z minimalną liczbą recenzji.
Źródło: Sekurak [PL]
Morpheus — spyware na Androida podszywa się pod oficjalną aktualizację systemu
Włoscy badacze z Osservatorio Nessuno opisali nowe oprogramowanie szpiegowskie na Androida o nazwie Morpheus, które podszywa się pod oficjalne narzędzie do aktualizacji telefonu. Ofiara sama instaluje złośliwą aplikację, myśląc, że odświeża system operacyjny — to tzw. "low cost spyware", niewymagające drogich exploitów ani luk zero-click. Wystarczy skuteczna manipulacja przez SMS sugerujący konieczność "przywrócenia funkcji telefonu". Po instalacji Morpheus przejmuje szeroki zakres danych: lokalizację, wiadomości, kontakty i inne. Badacze wiążą oprogramowanie z włoską firmą IPS specjalizującą się w technologiach "legalnego podsłuchu" dla instytucji państwowych. Incydent wpisuje się w rosnący rynek inwigilacyjnych narzędzi komercyjnych. Podstawowa zasada ochrony: nigdy nie instaluj aplikacji z linków w SMS-ach — aktualizacje systemu przychodzą wyłącznie przez ustawienia telefonu.
Źródło: Instalki.pl [PL]
CBZC rozbiło 14-osobową grupę sextortion — 891 zarzutów i 1,35 mln zł przepływów
Centralne Biuro Zwalczania Cyberprzestępczości (CBZC) rozbiło grupę 14 podejrzanych prowadzących schemat szantażu seksualnego na dużą skalę. Przestępcy budowali przez komunikatory fałszywe relacje emocjonalne, podszywając się pod atrakcyjne kobiety lub mężczyzn, po czym przenosili rozmowę do wideo i nakłaniali ofiary do intymnych zachowań. Nagrania służyły następnie do szantażu — groźby rozesłania materiałów rodzinie lub opublikowania w internecie. Stosowali też drugi schemat: udawali osoby przebywające za granicą w potrzebie i wyłudzali pieniądze, żerując na empatii. Niektóre ofiary straciły łącznie ponad 200 tys. zł. Na przeanalizowanych rachunkach śledczy ujawnili przepływy o wartości co najmniej 1,35 mln zł. Prokurator postawił łącznie 891 zarzutów — m.in. oszustwa, wymuszenia rozbójnicze i pranie pieniędzy. Sprawa ma charakter rozwojowy — możliwe są kolejne zatrzymania.
Źródło: Dobreprogramy [PL]
USA nakładają sankcje na kambodżańską sieć oszustw kryptowalutowych powiązaną z handlem ludźmi
Departament Skarbu USA (OFAC) objął sankcjami 29 osób i podmiotów powiązanych z kambodżańską siecią przestępczą specjalizującą się w cyfrowych oszustwach finansowych. Na liście znalazł się m.in. kambodżański senator Kok An, którego interesy biznesowe w sektorze hotelowym i ochroniarskim mają wspierać obozy oszustów ulokowane w kompleksach kasynowych. Sieć działa przez socjotechnikę — romance scamy i fałszywe platformy inwestycyjne — doprowadzając ofiary do przelania kryptowalut pod fałszywą pretekstem. W 2024 r. Amerykanie stracili przez tego rodzaju scamy z Azji Południowo-Wschodniej co najmniej 10 miliardów dolarów — o 66% więcej niż rok wcześniej. Akcja objęła zajęcie 503 domen fałszywych platform kryptowalutowych, zarzuty karne dla operatorów z Kambodży i Birmy oraz rozbicie aplikacji służącej do rekrutowania ofiar handlu ludźmi. Koordynacja objęła FBI, DoJ i Secret Service. Sieć jest też powiązana z przymusową pracą — zwerbowane fałszywymi ofertami pracy osoby były przetrzymywane i zmuszane do prowadzenia oszustw.
Źródło: Infosecurity Magazine [EN], SecurityWeek [EN]
🌐 DEZINFORMACJA, CYBER WOJNA
Szef brytyjskiego NCSC ostrzega: Rosja przenosi techniki z Ukrainy na resztę świata
Richard Horne, dyrektor brytyjskiego Narodowego Centrum Cyberbezpieczeństwa (NCSC), ostrzegł wprost, że Rosja aktywnie przenosi taktyki i techniki cybernetyczne wypracowane podczas wojny na Ukrainie przeciwko pozostałym krajom. Ukraina od lat funkcjonowała jako poligon doświadczalny rosyjskich zdolności ofensywnych — a nabyte tam doświadczenie jest teraz eksportowane. Wielka Brytania mówi otwarcie, że jest "w środku burzy" i sama odczuwa skutki rosyjskiej aktywności. Dotyczy to zarówno ataków na infrastrukturę krytyczną, jak i operacji dezinformacyjnych i szpiegowskich. Eksperci ostrzegają, że skuteczność i skala rosyjskich działań będzie tylko rosnąć. Szczególnie narażone są kraje bałtyckie, Polska i inne państwa flankowe NATO. To wezwanie do podwyższenia czujności i zwiększenia inwestycji w cyberobronę na poziomie całego Sojuszu.
Źródło: CyberDefence24 [PL]
Chiński szpieg podszywał się pod badacza w kampanii phishingowej wymierzonej w NASA
Chiński agent wywiadowczy prowadził ukierunkowaną kampanię szpiegowską (spear-phishing) przeciwko pracownikom NASA i Departamentu Obrony USA, podszywając się pod naukowca akademickiego, żeby zyskać zaufanie pracowników instytucji rządowych. Celem była kradzież oprogramowania o zastosowaniu obronnym i wojskowym. Przypadek ten ilustruje, jak chińskie służby wywiadowcze skupiają się na pozyskiwaniu zaawansowanych technologii przez ataki socjotechniczne, a nie tylko przez włamania techniczne. Sprawa jest w toku — możliwe jest postępowanie sądowe wobec sprawcy. Incydent po raz kolejny podkreśla konieczność szkoleń pracowników sektora rządowego z rozpoznawania zaawansowanych prób manipulacji. Fakt, że atakujący poświęcił czas na budowanie wiarygodnej tożsamości badacza, świadczy o wysokim poziomie planowania operacyjnego.
Źródło: Security Affairs [EN]
Grupa PhantomCore atakuje rosyjskie sieci, eksploatując podatności w platformie TrueConf
Hakerzy z grupy PhantomCore wykorzystują luki bezpieczeństwa w TrueConf — popularnym w Rosji oprogramowaniu do wideokonferencji — żeby przełamywać zabezpieczenia rosyjskich organizacji i sieci. Paradoks jest tu oczywisty: Rosja, znana z ofensywnych cyberoperacji na skalę globalną, sama pada ofiarą zaawansowanych ataków. Platformy do komunikacji wewnętrznej (wideokonferencje, czaty) są szczególnie atrakcyjnym celem — mają zwykle szeroki dostęp do zasobów organizacji i są traktowane jako zaufane narzędzia. Szczegóły techniczne użytych exploitów wskazują na wysoki stopień zaawansowania atakujących. Nie ujawniono, czyje interesy reprezentuje PhantomCore, ale atakowanie rosyjskiej infrastruktury sieciowej jest symptomatyczne dla eskalacji cyberkonfliktu. Incydent przypomina, że żadna strona rywalizacji cybernetycznej nie jest odporna na własną broń obróconą przeciwko sobie.
Źródło: The Hacker News [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 27 kwietnia 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.