CyberCafe - Aktualności Cyberbezpieczeństwa

Grupa NoName057(16), działająca od 2022 roku i przeprowadzająca ataki DDoS na instytucje rządowe, media, infrastrukturę krytyczną i firmy prywatne, została zdemobilizowana po akcji międzynarodowych organów ścigania. Dzięki operacji 'Eastwood' zlikwidowano ponad 100 serwerów, zatrzymano dwóch członków gangu oraz wydano nakazy aresztowania dla siedmiu innych. Mimo tego, kluczowi członkowie grupy pozostają bezpieczni w Rosji, co sugeruje możliwość kontynuacji działań przestępczych w przyszłości.

Google złożył pozew w nowojorskim sądzie federalnym przeciwko operatorom botnetu BadBox 2.0, który zdaniem firmy przeprowadził masową operację złośliwego oprogramowania na ponad 10 milionach urządzeń działających na systemie Android. Pozew dotyczy cyberprzestępczości i nadużyć w reklamie internetowej, a także wskazuje na złożoną sieć przestępczą z Chin jako głównym źródłem infekcji. Google podejmuje działania mające na celu zlikwidowanie największego dotąd znanego botnetu urządzeń TV podłączonych do internetu.

Podatność na nieprawidłową kontrolę dostępu [CWE-284] w komponencie logowania FortiIsolator może pozwolić zdalnemu uwierzytelnionemu atakującemu na odczyt w trybie tylko do odczytu i modyfikację dzienników za pomocą spreparowanego żądania HTTP.

Artykuł mówi o potencjalnej lukie w bezpieczeństwie FortiSandbox i FortiIsolator, która pozwala atakującemu na kontynuowanie sesji admina nawet po usunięciu jego konta.

Firma Google złożyła pozew przeciwko 25 anonimowym osobom w Chinach, oskarżając ich o włamanie do ponad 10 milionów urządzeń na całym świecie w celu zbudowania botnetu BadBox 2.0 i przeprowadzania cyberprzestępstw oraz oszustw. Pozew ujawnił szczegóły działania botnetu i jego wpływ na bezpieczeństwo użytkowników i usługi Google.

Analiza zestawienia najlepszych usług hostingowych roku 2025 opiera się na badaniach przeprowadzonych przez ZDNET. Zalecane usługi hostingowe oferują nie tylko miejsce na stronę internetową, ale także dodatkowe funkcje, jak systemy zarządzania treścią, SEO czy szablony projektowania stron. Hostinger, DreamHost, Hosting.com, Ionos, GreenGeeks i GoDaddy to rekomendowane dostawcy. Decydując się na usługę hostingową, warto wziąć pod uwagę m.in. prostotę obsługi, wsparcie techniczne oraz koszty.

Według artykułu występuje podatność CWE-89 w FortiWeb, która umożliwia atakującemu wykonanie nieautoryzowanego kodu SQL poprzez spreparowane żądania HTTP lub HTTPs. Zalecane jest wyłączenie interfejsu administracyjnego HTTP/HTTPS.

Międzynarodowe siły policyjne zlikwidowały ponad 100 serwerów należących do sieci NoName057(16) tego tygodnia w ramach Operacji Eastwood, prowadzonej przez Europol. Przeprowadzona wspólnie akcja obejmowała 19 państw z Europy i Ameryki Północnej, prowadząc do zatrzymania dwóch obywateli Rosji we Francji i Hiszpanii. NoName057(16) to jedna z kilku operacji hakerów, składająca się z sympatyków rosyjskojęzycznych, które pojawiły się krótko po inwazji na Ukrainę.

Wspólne działania służb policyjnych z Europy i USA doprowadziły do zakłócenia działalności grupy hakerskiej NoName057(16), znanej z masowych ataków typu DDoS na Ukrainę i jej sojuszników. Niemieckie władze wydały nakazy aresztowania dla sześciu Rosjan podejrzanych o udział w przywództwie grupy. Organizacja używała kanałów, forów oraz grup chatowych na platformach społecznościowych i aplikacjach do rekrutacji ochotników, których nagradzano kryptowalutami i odznakami cyfrowymi. Ataki grupy były skoordynowane z pomocą setek ochotników i botnetu. Mimo że większość ataków była mało szkodliwa, zdecentralizowany model NoName057(16) z botnetem stanowił rosnące zagrożenie.

Międzynarodowa akcja przeciwko pro-rosyjskiej sieci cyberprzestępczej NoName057(16) została przeprowadzona pod nazwą Operacja Eastwood. Skoordynowana przez Europol i Eurojust operacja doprowadziła do zatrzymania infrastruktury ataku składającej się z ponad 100 systemów komputerowych na całym świecie. W wyniku działań, których daty wykonania przypadają na 14-17 lipca 2025 roku, zatrzymano kilkanaście osób we Francji i Hiszpanii oraz wydano 7 nakazów aresztowania.

Międzynarodowa akcja zlikwidowała NoName057(16), grupę pro-rosyjskich hacktivistów odpowiedzialnych za ataki DDoS w Europie i Ameryce Północnej. Operacja Eastwood, prowadzona przez służby z 17 krajów, z pomocą Europolu i innych partnerów, zakończyła się przeszukaniem 24 domów, wydaniem 7 nakazów aresztowania i usunięciem ponad 100 serwerów tworzących infrastrukturę botnetu grupy. Członkowie, rekrutowani poprzez kanały propagandowe, nie zdawali sobie sprawy z przestępczej działalności. Ostrzeżenia zostały wysłane do ponad 1000 sympatyków NoName057(16), aby ograniczyć przyszłe zaangażowanie w podobne kampanie.

Linia lotnicza narodowa Serbii, Air Serbia, zmaga się z atakiem cybernetycznym, który skutkuje opóźnieniami w wypłacaniu pensji pracownikom. Atak ten sprawił, że firma podjęła szereg działań zabezpieczających, w tym resetowanie haseł, instalowanie oprogramowania antywirusowego i ograniczenie dostępu do sieci. Mimo próśb o współpracę, atakujący wciąż mają dostęp do sieci firmy, co stawia pod znakiem zapytania bezpieczeństwo danych osobowych. Sytuacja ta stanowi jedno z najnowszych zagrożeń cybernetycznych w branży lotniczej.

W drugim kwartale 2025 roku Cloudflare powstrzymał największy atak DDoS w historii, osiągający 7.3 Tbps. Atak ten trwał zaledwie 45 sekund, a firma ostrzega przed trendem krótkich, intensywnych wybuchów ataków przeprowadzanych przez sprawców zagrażających cyberbezpieczeństwu.

Największy zachodni darknetowy rynek Bitcoin Abacus Market nagle zniknął w lipcu 2025 roku, co wywołało podejrzenia o oszustwo wyjścia. Platforma zyskała popularność po zamknięciu konkurentów, a jej nagły spadek aktywności wywołał spekulacje o jego upadku.

W drugim kwartale 2025 r. firma Cloudflare opublikowała raport dotyczący zagrożeń DDoS, ujawniając dramatyczny wzrost ataków o dużej objętości, które przekraczają 1 Tbps lub 1 mld pakietów na sekundę. Ataki te zwiększyły się o 65 razy w porównaniu z rokiem poprzednim, osiągając liczbę ponad 6,500 incydentów tylko w trzy miesiące. Chociaż całkowita liczba ataków DDoS spadła, proporcja ataków o dużej objętości gwałtownie wzrosła, sygnalizując eskalację zagrożenia. Wzrost ten jest związany z wykorzystaniem coraz potężniejszych botnetów opartych na maszynach w chmurze oraz rosnącym użyciem nieznanych protokołów w celu uniknięcia standardowych metod obronnych.

Podczas Konferencji Cyberbezpieczeństwa na Uniwersytecie Fordham w Nowym Jorku, oficjele NSA i FBI podkreślili sukces w przeciwdziałaniu chińskim kampaniom cybernetycznym wymierzonym w infrastrukturę krytyczną USA. Kampania Tyfunu Volt Chińczyków nie zakończyła się sukcesem, co wymusiło na nich zmianę taktyki. Kontrowersje dotyczące publicznej atrybucji działań cybernetycznych stanowią istotny element reakcji rządu USA na ataki ze strony Chin.

Platforma CompassDRP oferuje integrację mediów społecznościowych, umożliwiającą monitorowanie profili firmowych i pracowników na platformach takich jak Twitter, LinkedIn i Facebook w celu wykrycia zagrożeń takich jak phishing, oszustwa i wycieki danych. W artykule przedstawiono sześć rzeczywistych przypadków użycia i sposób chronienia organizacji przed atakami oraz utratą reputacji.

Abacus Market, najbardziej dochodowy mroczny rynek internetowy Zachodniego świata, zamknął się prawdopodobnie w wyniku oszustwa wyjścia. Administrator, znany jako „Vitro”, podał, że problemy wynikały z ataku DDoS i napływu użytkowników z innego rynku. Analitycy sugerują, że pod wpływem przejęcia lidera rynku przez Archetyp, administratorzy Abacus zdecydowali się opuścić rynek w obawie przed działaniami prawnymi. Policja obecnie preferuje skupienie się na dostawcach działających na mrocznych rynkach internetowych, zamiast likwidować same platformy.

Artykuł dotyczy wykrytej luki typu heap-based buffer overflow w systemie FortiOS firmy Fortinet, która umożliwia atakującemu wykonanie arbitralnego kodu lub poleceń. Zagrożone są wybrane modele, gdy są skonfigurowane jako klient bezprzewodowy. Informacja została opublikowana 8 lipca 2025 r.

W artykule informacyjnym od Fortinet, opublikowanym w lipcu 2025 roku, wspomniano o niedostatecznie zabezpieczonym sprawdzaniu podatności standardowej w FortiOS i FortiProxy, co może pozwolić na obejście filtra DNS przez zdalnego, nieuwierzytelnionego użytkownika za pomocą urządzeń Apple.

Analiza luki w zabezpieczeniach uwierzytelniania, która dotyczy FortiOS i FortiProxy, mogąca pozwolić użytkownikowi API na zalogowanie się nawet przy nieprawidłowym certyfikacie PKI.

W FortiManagerze i FortiAnalyzerze zaobserwowano uchybienie w neutralizacji elementów specjalnych wykorzystywanych w poleceniu SQL ('SQL Injection'), co umożliwia uwierzytelnionemu atakującemu o wysokich uprawnieniach wydobycie informacji z bazy danych za pomocą specjalnie spreparowanych żądań.

Tanel Sepp, ambasador-at-large Estonii ds. cyberdyplomacji, opowiada o dziedzictwie cyfrowym kraju, akcjach przeciwko GRU i Ukrainie oraz roli dyplomacji cyfrowej. Estonia, mimo niewielkiej liczby ludności, odgrywa znaczącą rolę w międzynarodowych inicjatywach zwalczających problemy związane z cyberprzestępczością i cyberbezpieczeństwem. Szczególny nacisk kładzie się na implementację narzędzi AI, budowanie gotowości cyfrowej Ukrainy oraz rozwijanie międzynarodowej współpracy w dziedzinie cyberdyplomacji.

Artykuł informuje o załatanej luce w systemie Next.js, która mogła prowadzić do uszkodzenia zabezpieczeń poprzez zatrucie pamięci podręcznej, powodując warunki DoS. Wyjaśnia się, że problem nie dotyczy klientów hostowanych na platformie Vercel. Opisane są warunki, w których luka mogła być wykorzystana oraz sposób jej naprawy. Artykuł kończy się informacją o osobach odpowiedzialnych za odkrycie luki i numerem referencyjnym GHSA-67rr-84xm-4c7r.

W przypadku omówionego problemu związanych z platformą Next.js, wystąpiła podatność na cache poisoning, która została rozwiązana w wersji 15.3.3. Zagrożenie polegało na zwracaniu payloadu React Server Component zamiast treści HTML pod określonymi warunkami, co mogło prowadzić do złamania lub wyświetlania nieprawidłowej zawartości klienta.

Dwie nowe grupy hacktivistów o nazwach IT Army of Russia i TwoNet pojawiły się ostatnio, aby przeprowadzać cyberataki na Ukrainę i jej sojuszników. Grupy te wykorzystują aplikację Telegram do koordynowania operacji, rekrutowania insajderów i zbierania informacji o celach w Ukrainie. Ich działania obejmują ataki DDoS, deface strony internetowe oraz kradzież danych. Sprawozdanie od firmy cyberbezpieczeństwa Intel 471 sugeruje, że grupy te mogą być związane z wcześniej znanymi groźnymi aktorami, ale dokładne powiązania pozostają niejasne.

Artykuł prezentuje analizę działalności haktivistów związaną z konfliktem izraelsko-irańskim, ukazując wzrost ataków cybernetycznych motywowanych ideologicznie oraz możliwe zaangażowanie podmiotów państwowych udających haktivistów. Podkreśla się rolę konfliktów cybernetycznych w nowoczesnej wojnie oraz zaleca zwiększenie środków bezpieczeństwa cybernetycznego przez organizacje na całym świecie.

Rosyjscy dostawcy usług internetowych ograniczają dostęp do stron chronionych przez Cloudflare, co znacząco zakłóca ruch sieciowy w kraju. Cloudflare potwierdziło, że od czerwca ogranicza się przepustowość transferu danych, uniemożliwiając użytkownikom Rosji dostęp do stron i usług zabezpieczonych przez ich platformę.

W czerwcu 2025 roku świat świadomości cyberbezpieczeństwa był świadkiem wielu ważnych wydarzeń, takich jak nowe przepisy dotyczące opłat za ransomware w Australii czy kolejny atak DDoS bijący rekordy. Tony Anscombe, główny ewangelista ds. bezpieczeństwa w ESET, przedstawił najważniejsze informacje z tego okresu, kontynuując serię najnowszych doniesień dotyczących cyberbezpieczeństwa.

Firma Cloudflare zablokowała w zeszłym miesiącu największy atak DDoS w historii internetu. Atak przeprowadzony na dostawcę hostingu osiągnął przepustowość 7,3 terabitów na sekundę i składał się głównie z ataków UDP. Artykuł podkreśla wzrost ataków DDoS oraz przedstawia kroki obrony przed nimi, włącznie z partnerstwem z firmami świadczącymi usługi obrony przed atakami DDoS, blokowaniem ruchu z niebezpiecznych źródeł oraz wykorzystaniem wielu warstw obrony.

Profesjonalne streszczenie artykułu przeprowadzonego przez Tenable na temat operacji cybernetycznych Iranu, w tym zagrożeń tworzonych przez grupy Iranu, wykorzystywanych podatności i zaleceń bezpieczeństwa. Artykuł skupia się na odpowiedziach na pytania dotyczące działań cybernetycznych Iranu, w tym aktorów zagrożenia, taktyk używanych przez Iran oraz związków z rządowa hakerską jednostką IRGC.

W dniu 25 czerwca 2025 r. władze francuskie ogłosiły aresztowanie czterech członków grupy cyberprzestępczej ShinyHunters za działania przestępcze w tle cybernetycznym oraz zaangażowanie w forum BreachForums. Grupa ShinyHunters działa od 2020 r. i jest znana z kradzieży danych oraz handlu nimi na forach RaidForums i BreachForums. BreachForums, od swojego powstania w 2015 r., było wielokrotnie zamykane i administrowane przez różne osoby. Podjęte działania prawne pokazują zwiększające się naciski na infrastrukturę i operacje cyberprzestępcze.

Analiza zwiększonego ryzyka cybernetycznego związanego z Iranem w kontekście konfliktu z Izraelem i USA, wskazująca na potencjalne eskalacje ataków ze strony grup wspieranych przez państwo i hacktivistów, skupionych na zakłócaniu, zbieraniu informacji i wpływaniu na przeciwników. Szczegółowe obserwacje dotyczące działań irańskich grup, zalecenia dotyczące obrony przed zagrożeniami oraz możliwe konsekwencje ataków cybernetycznych w kontekście aktualnych wydarzeń politycznych związanych z Iranem.

Historia Cama stanowi zarówno opowieść przestrogę, jak i inspirację jednocześnie. Był zarówno atakującym, jak i obrońcą, jednak nielegalnym atakującym. Rozpętał ataki, które spowodowały pół miliona dolarów szkód. Jego działania wynikały z poczucia niesprawiedliwości w świecie. Posłuchaj jego historii.