Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
Ujawniono poważną podatność w jądrze Linuksa oznaczoną CVE-2026-31431, nazwaną "CopyFail", która dotyka wszystkich dystrybucji wydanych po 2017 roku — RHEL, Ubuntu, SUSE, Amazon Linux i innych. Badacze z Xint opublikowali 732-bajtowego exploita w Pythonie, który w praktyce działa za pierwszym razem, nie destabilizuje systemu i jest przenaszalny między dystrybucjami. To klasa "local privilege escalation" — atakujący musi mieć konto na systemie, ale po uruchomieniu skryptu błyskawicznie uzyskuje prawa roota. Luka polega na tym, że funkcja splice() przekazuje strony z pamięci podręcznej jądra do podsystemu kryptograficznego bez odpowiedniej weryfikacji ich przynależności. Podatność zgłoszono pod koniec marca 2026, załatano 1 kwietnia, a exploit upubliczniono 29 kwietnia. Aktualizacja kernela to dziś absolutny priorytet dla każdego administratora systemu Linux.
Źródło: Niebezpiecznik [PL], Sekurak [PL], SecurityWeek [EN]
Polskie Siły Zbrojne intensywnie rozwijają zastosowania sztucznej inteligencji w celach militarnych, traktując ją nie jako ciekawostkę technologiczną, lecz jako kluczowy element przewagi operacyjnej. W odróżnieniu od wielu komercyjnych wdrożeń, opracowywane rozwiązania w całości pozostają własnością i pod kontrolą wojska — w tym kod źródłowy. To istotny element suwerenności technologicznej i bezpieczeństwa w kontekście potencjalnych wrogich operacji wpływu czy sabotażu. AI ma wspomagać rozpoznanie, analizę sygnałów i wsparcie decyzyjne na polu walki. Inicjatywa wpisuje się w szerszy wyścig zbrojny z udziałem AI prowadzony jednocześnie przez Rosję, Chiny i kraje NATO.
Źródło: CyberDefence24 [PL]
Badacze ujawnili działalność nieznanej wcześniej chińskiej grupy szpiegowskiej Shadow-Earth-053, która przez długi czas gościła w sieciach w Polsce i kilku krajach azjatyckich. Polska jest krajem NATO, a jej wytypowanie jako cel podkreśla eskalację chińskiego szpiegostwa cybernetycznego wymierzonego w sojuszników zachodnich. Napastnicy używali przemianowanych systemowych narzędzi Windows (tzw. "living off the land"), by zgubić się w normalnym ruchu sieciowym i uniknąć detekcji. Do poruszania się po zainfekowanych środowiskach stosowali Windows Management Instrumentation (WMIC), a na kolejne serwery rozsiewali webshelle, stale zbierając po drodze kolejne dane uwierzytelniające. Ekspert ds. bezpieczeństwa Tom Kellermann skomentował, że atakowanie Polski "pokazuje, jak bardzo rośnie cyberwywiad i cyberwojska". Ujawnienie nastąpiło tuż przed szczytem Trump–Xi, co nadaje odkryciu wyraźny wymiar dyplomatyczny.
Źródło: The Register [EN]
Cyfrowy Polsat poinformował klientów o poważnym incydencie bezpieczeństwa, w wyniku którego do rąk przestępców trafiły wrażliwe dane osobowe abonentów. Zakres wycieku obejmuje imiona i nazwiska, numery PESEL, dane z dokumentów tożsamości oraz adresy. Dobrą informacją jest to, że nie wyciekły hasła do kont ani dane kart płatniczych. Firma podkreśla, że jej własne systemy informatyczne nie zostały przełamane — incydent dotyczył danych przetwarzanych w ramach umów o usługi komunikacji elektronicznej. Wcześniej w darknecie pojawiał się wpis grupy ALP-001 o rzekomej kradzieży 75 GB danych z Polsatu, który teraz nabiera nowego sensu. Ze względu na wyciek numerów PESEL istnieje poważne ryzyko kradzieży tożsamości i wyłudzenia kredytów. Polsat zaleca niezwłoczne zastrzeżenie PESEL przez aplikację mObywatel, gov.pl lub w urzędzie gminy.
Źródło: Telepolis [PL], Telepolis [PL]
Centralne Biuro Śledcze Policji zatrzymało pięć osób podejrzanych o prowadzenie zorganizowanej grupy przestępczej wokół platformy AdBlast, która działała jako klasyczna piramida finansowa. Łączna liczba pokrzywdzonych przekracza 90 tysięcy osób, a straty wynoszą co najmniej 32 mln dolarów — sama kwota objęta zarzutami to ponad 15 mln złotych. Ofiary mogły kupować pakiety od 10 do 1000 dolarów lub nabywać statusy na platformie — zyski zależały głównie od wciągania nowych uczestników, co jest klasycznym mechanizmem piramidy Ponziego. Pieniądze były prane przez bitcoina, giełdy kryptowalut, BLIK i kantory. Śledczym udało się zidentyfikować adresy w sieci Bitcoin dzięki analizie wstecznej inżynierii platformy. Zatrzymania prowadzono od marca do 27 kwietnia 2026 roku.
Źródło: CyberDefence24 [PL]
Skoordynowana operacja policyjna doprowadziła do zamknięcia 9 centrów telefonicznych specjalizujących się w oszustwach na fałszywe inwestycje kryptowalutowe i zatrzymania 276 podejrzanych. Skala operacji pokazuje, z jak dużą siatką przestępczą mają do czynienia służby — setki "agentów" telefonicznych pracujących jednocześnie w różnych lokalizacjach. Centra te działają na zasadzie call center: rekrutują ofiary przez media społecznościowe, budują zaufanie i nakłaniają do wpłat na fałszywe platformy. Przejęte urządzenia i dane pozwolą na identyfikację kolejnych uczestników sieci.
Źródło: BleepingComputer [EN]
Dyrektor Cyber Division FBI użył bezprecedensowo dosadnego sformułowania, opisując chiński ekosystem hakerów na wynajem jako ten, który "wymknął się spod kontroli" (ang. "gotten out of control"). W tle tej deklaracji są nowe akty oskarżenia wobec 12 chińskich obywateli — w tym dwóch oficerów Ministerstwa Bezpieczeństwa Publicznego i pracowników firmy i-Soon (Anxun Information Technology) — powiązanych z grupą APT27 / Silk Typhoon. Oskarżeni mieli włamywać się do sieci na zlecenie chińskich służb i przekazywać dane wywiadowcze, a jednocześnie prowadzić ataki dla zysku finansowego. FBI i Departament Stanu oferują nagrody do 2 mln dolarów za informacje prowadzące do aresztowania kluczowych podejrzanych. Sprawa pokazuje systemowy charakter problemu: Chiny używają prywatnych firm technologicznych jako warstwy ochronnej kamuflującej operacje hakerskie państwa.
Źródło: The Register [EN]
Raport SecurityWeek alarmuje, że dzięki narzędziom opartym na AI cyberprzestępcy skrócili czas od wykrycia podatności do jej aktywnej eksploatacji z dni i tygodni do zaledwie kilku godzin. Dotyczy to szczególnie sektora przemysłowego i infrastruktury krytycznej, gdzie systemy operacyjne (OT/ICS) często nie są aktualizowane tak szybko jak środowiska IT. AI pozwala nie tylko szybciej znajdować luki, ale też automatyzować tworzenie exploitów, personalizowanie ataków phishingowych i omijanie zabezpieczeń. Organizacje przemysłowe, które dotychczas "chroniły się izolacją", są coraz bardziej zintegrowane z internetem i tym samym wystawione na te same zagrożenia co firmy IT. Eksperci apelują, by priorytetowo traktować łatanie systemów OT — i to w ciągu godzin, nie miesięcy.
Źródło: SecurityWeek [EN]
BleepingComputer opisuje nową platformę phishingową BlueKit, która oferuje abonentom gotowy zestaw do przeprowadzania ataków phishingowych — w tym wbudowanego asystenta AI pomagającego konfigurować i dostosowywać kampanie. Do dyspozycji przestępców jest ponad 40 szablonów udających popularne serwisy, m.in. platformy bankowe, e-commerce i media społecznościowe. BlueKit obsługuje techniki omijania MFA (wieloskładnikowego uwierzytelniania) poprzez ataki typu adversary-in-the-middle (AiTM), gdzie phishingowa strona działa jako proxy między ofiarą a prawdziwym serwisem — przechwytując token sesji użytkownika nawet po skutecznym zalogowaniu z MFA. To drastyczne obniżenie progu wejścia dla przestępców: by prowadzić zaawansowane kampanie phishingowe, nie trzeba już żadnej wiedzy technicznej.
Źródło: BleepingComputer [EN]
CERT Polska wydał nowy alert ostrzegający przed kolejną falą fałszywych sklepów internetowych, które podszywają się pod wizerunek rozpoznawalnych polskich marek i instytucji. Strony wyglądają profesjonalnie, mają certyfikaty SSL i kopiują elementy graficzne oryginalnych serwisów — co sprawia, że są trudne do odróżnienia na pierwszy rzut oka. Ofiara dokonuje płatności, a zamówiony towar nigdy nie dociera. Kampania jest kolejną odsłoną trendu opisywanego przez CERT Orange: AI umożliwia masowe, zautomatyzowane tworzenie wiarygodnych kopii stron. Przed każdym zakupem warto sprawdzić datę rejestracji domeny (np. przez whois.domaintools.com) — nowe domeny z wysokimi rabatami to niemal pewny sygnał ostrzegawczy.
Źródło: CERT Polska [PL]
The Hacker News opisuje kampanię dystrybuującą nowe złośliwe oprogramowanie EtherRAT (Remote Access Trojan), rozsiewane przez sfałszowane strony popularnych narzędzi — mechanizm znany jako spoofing dystrybucji. EtherRAT daje atakującemu pełny zdalny dostęp do zainfekowanego urządzenia: może przechwytywać ekran, rejestrować klawisze, kraść pliki i podsłuchiwać aktywność użytkownika. Kampania celuje w użytkowników systemu Windows i jest aktywnie dystrybuowana przez podejrzane reklamy w wyszukiwarkach (malvertising). To kolejne ostrzeżenie: pobieranie oprogramowania z wyników reklamowych w Google lub Bing zamiast z oficjalnych stron producenta to proszenie się o kłopoty.
Źródło: The Hacker News [EN]
Bitdefender informuje, że irańska grupa Handala, znana z wcześniejszych ataków na izraelski sektor energetyczny i finansowy, opublikowała dane wywiadowcze dotyczące żołnierzy US Marines — i wysłała bezpośrednie wiadomości z groźbami przez WhatsApp. To eskalacja: od cyberataku na infrastrukturę do bezpośrednich gróźb wobec konkretnych żołnierzy. Wyciek danych wojskowych, nawet niejawnych, może mieć konsekwencje operacyjne — ujawnia miejsca stacjonowania, harmonogramy i strukturę jednostek. Akcja jest elementem irańskiej kampanii wymierzonej w obecność USA na Bliskim Wschodzie, nasilającej się od początku 2026 roku.
Źródło: Bitdefender [EN]
The Register informuje o zatrzymaniu głównego podejrzanego w sprawie jednego z największych wycieków danych rządowych w historii Francji. Wcześniejszy incydent dotknął miliony obywateli — w tym dane z ubezpieczeń zdrowotnych i świadczeń socjalnych. Tego rodzaju masowe naruszenia danych rządowych mają podwójny wymiar: natychmiastowy (ryzyko kradzieży tożsamości dla milionów osób) i strategiczny (skradzione dane mogą posłużyć do operacji wywiadowczych lub szantażu urzędników). Tożsamość podejrzanego nie została upubliczniona. Sprawa jest pod nadzorem prokuratury ds. cyberprzestępczości (PNCC).
Źródło: The Register [EN]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 30 kwietnia 2026 r. W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.