🔐 Cyber Security Daily News | 11.03.2026
hive-134382·@lesiopm2·
1.810 HBD🔐 Cyber Security Daily News | 11.03.2026
<div class="text-justify">  # 🔐 Cyber Security Daily News | 11.03.2026 Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.  ----- ## 📰 1. NEWS --- ### ***Polska przyjęła Strategię Cyberbezpieczeństwa RP do 2029 roku*** Rada Ministrów zatwierdziła nową Strategię Cyberbezpieczeństwa Rzeczypospolitej Polskiej, która ma obowiązywać do 2029 roku. Dokument zakłada m.in. powołanie centralnej instytucji koordynującej bezpieczeństwo cyfrowe na poziomie krajowym, budowanej na bazie istniejącego Połączonego Centrum Operacyjnego Cyberbezpieczeństwa. Planowane są też nowe sektorowe zespoły CSIRT dla ministerstw i instytucji nadzoru finansowego, a także rozbudowa systemu S46 do obsługi incydentów. Strategia przewiduje m.in. rozwój kryptografii postkwantowej, ochronę DDoS dla instytucji publicznych i Sił Zbrojnych, a także konkretne wymogi cyberbezpieczeństwa w zamówieniach publicznych. W planach jest także budowa Centrum Cyberbezpieczeństwa NASK, kosztującego 310 mln zł. Minister Gawkowski zapewnił, że Polska stawia na krajowe technologie i zacieśnianie współpracy między instytucjami odpowiedzialnymi za bezpieczeństwo cyfrowe. https://crn.pl/wp-content/uploads/2026/03/AdobeStock_59124826-autor-tashatuvango-klawiatura-Polska-polska-flaga.jpg *Źródło: [CRN Polska](https://crn.pl/aktualnosci/nowa-strategia-cyberbezpieczenstwa-polski-przyjeta/) [PL]* --- ### ***Microsoft w marcowym Patch Tuesday załatał 83 podatności*** W ramach marcowej edycji Patch Tuesday Microsoft wydał poprawki dla 83 luk bezpieczeństwa, w tym kilku ocenianych jako krytyczne. Wśród załatanych podatności znajdowały się błędy pozwalające na zdalne wykonanie kodu oraz eskalację uprawnień – to szczególnie niebezpieczna kombinacja, mogąca umożliwić atakującym pełne przejęcie kontroli nad systemem. Część z wykrytych błędów była już aktywnie wykorzystywana przez cyberprzestępców przed opublikowaniem poprawek, co czyni aktualizację szczególnie pilną. Administratorzy systemów Windows powinni jak najszybciej wdrożyć marcowe łatki, zwłaszcza w środowiskach korporacyjnych. To kolejny sygnał, że regularne aktualizowanie oprogramowania to nie fanaberia, lecz absolutna konieczność.  *Źródło: [SecurityWeek](https://www.securityweek.com/microsoft-patches-83-vulnerabilities/) [EN]* --- ### ***Aktywne ataki na urządzenia FortiGate – hakerzy zbierają dane konfiguracyjne sieci*** Badacze bezpieczeństwa odnotowali aktywną eksploatację podatności w urządzeniach FortiGate firmy Fortinet, która pozwala atakującym uzyskać dostęp do wrażliwych danych sieciowych, w tym plików konfiguracyjnych. Urządzenia FortiGate to popularne firewalle i bramy VPN stosowane w tysiącach firm i instytucji na całym świecie – ich kompromitacja może dać atakującym kluczowe informacje niezbędne do dalszego penetrowania infrastruktury organizacji. Eksperci zwracają uwagę, że sama znajomość konfiguracji sieci może wystarczyć do zaplanowania precyzyjnego ataku. Organizacje korzystające z produktów Fortinet powinny natychmiast sprawdzić dostępność aktualizacji i przejrzeć logi pod kątem podejrzanej aktywności. Tego typu podatności w urządzeniach brzegowych są dziś jednym z najchętniej eksploatowanych wektorów wejścia.  *Źródło: [Security Affairs](https://securityaffairs.com/189241/security/attackers-exploit-fortigate-devices-to-access-sensitive-network-information.html) [EN]* --- ## 🚨 2. INCYDENTY --- ### ***Hakerzy mogli naruszyć sieć podsłuchową FBI przez dostawcę usług*** Na początku marca wyszło na jaw, że w lutym 2026 roku doszło do podejrzanej aktywności sieciowej w systemie Digital Collection System Network – kluczowej infrastrukturze FBI służącej do przechowywania danych z legalnie autoryzowanych podsłuchów telefonicznych, nakazów FISA i rejestrów połączeń. FBI potwierdziło wykrycie i „zidentyfikowanie" incydentu, lecz nie podało szczegółów dotyczących jego skali ani sprawców. Wedle doniesień Wall Street Journal, śledczy podejrzewają powiązania z chińskim rządem – co o tyle nie zaskakuje, że podobna chińska grupa (Salt Typhoon) atakowała operatorów telekomunikacyjnych AT&T i Verizon w 2024 roku. Co szczególnie niepokojące, tym razem nie doszło do bezpośredniego włamania w systemy FBI, lecz do ataku przez ISP zewnętrznego dostawcy – czyli przez „boczne drzwi" w łańcuchu dostaw. Do śledztwa dołączyły NSA, DHS i Biały Dom, co jasno wskazuje, że incydent traktowany jest jako poważny problem bezpieczeństwa narodowego.  *Źródło: [Malwarebytes](https://www.malwarebytes.com/blog/data-breaches/2026/03/hackers-may-have-breached-fbi-wiretap-network-via-supply-chain) [EN]* --- ### ***Botnet KadNap zainfekował ponad 14 000 urządzeń brzegowych, głównie routerów Asus*** Badacze z Black Lotus Labs (Lumen) opisali nowe złośliwe oprogramowanie o nazwie KadNap, które werbuje routery Asus i inne urządzenia brzegowe do botnetu służącego do anonimowego przekierowywania ruchu sieciowego. Zainfekowane urządzenia stają się węzłami sieci proxy, sprzedawanej następnie w serwisie Doppelgänger jako „100% anonimowe proxy rezydenckie". Unikalność KadNap polega na wykorzystaniu protokołu Kademlia DHT (peer-to-peer), który sprawia, że komunikacja z serwerami C2 ukryta jest w normalnym ruchu sieci P2P i jest wyjątkowo trudna do wykrycia lub przerwania. Ponad 60% ofiar pochodzi z USA, a infekcje wykryto także w Europie i Azji. Producent zarażonych urządzeń nie ponosi odpowiedzialności za brak aktualizacji z późniejszych wersji oprogramowania – dlatego eksperci apelują o regularne aktualizacje firmware routerów, zmianę domyślnych haseł i zastępowanie modeli bez wsparcia producenta.  *Źródło: [The Hacker News](https://thehackernews.com/2026/03/kadnap-malware-infects-14000-edge.html) [EN] | [Bleeping Computer](https://www.bleepingcomputer.com/news/security/new-kadnap-botnet-hijacks-asus-routers-to-fuel-cybercrime-proxy-network/) [EN]* --- ## 💡 3. CIEKAWOSTKI --- ### ***Inteligentny telewizor może przekazywać innym Twój adres IP bez Twojej wiedzy*** CERT Orange Polska opublikował ważny artykuł na temat mało znanych zagrożeń związanych z urządzeniami Smart TV – szczególnie tymi opartymi na systemach webOS (LG) i Tizen (Samsung). Okazuje się, że firma Bright Data oferuje twórcom aplikacji na telewizory model, w którym ich apka dyskretnie zamienia telewizor w węzeł tzw. residential proxy – innymi słowy, cudzy ruch sieciowy przechodzi przez Twój domowy adres IP. Co więcej, Bright Data ma już ponad 200 własnych aplikacji (gry, streaming, newsy) bezpośrednio w sklepie LG, omijając zupełnie pośredników. Problem jest poważny: ktokolwiek zapłaci za dostęp do takiej sieci proxy, może prowadzić w internecie działania widoczne jako pochodzące z Twojego adresu – od scrapowania stron po potencjalnie nielegalne operacje. CERT Orange zaleca regularne aktualizacje TV, tworzenie osobnej sieci Wi-Fi dla urządzeń IoT oraz – jeśli router na to pozwala – włączenie izolacji klientów. https://cert.orange.pl/wp-content/uploads/2026/03/TL-20260306-lopata.png *Źródło: [CERT Orange Polska](https://cert.orange.pl/aktualnosci/twoj-telewizor-szpieguje-internet-ciebie-tez/) [PL]* --- ### ***Polscy nastolatkowie w wieku 12–16 lat sprzedawali narzędzia do ataków DDoS*** Centralne Biuro Zwalczania Cyberprzestępczości (CBZC) ustaliło i przeszukało miejsca zamieszkania 7 nieletnich z województw mazowieckiego, lubelskiego, łódzkiego i wielkopolskiego, którzy świadomie handlowali w internecie oprogramowaniem służącym do przeprowadzania ataków DDoS. Nastolatki – w wieku od 12 do 16 lat – nie tylko sprzedawały narzędzia, ale i aktywnie prowadziły ataki, m.in. na popularne serwisy aukcyjne. Działali w grupie, pozostawali ze sobą w kontakcie i wspólnie administrowali infrastrukturą. Co ciekawe, nie chodzi tu o przypadkowych „bawiących się" w hakerstwo – dla młodych sprawców była to zorganizowana działalność zarobkowa. Ponieważ podejrzani są nieletni, materiały zostaną przekazane do sądów rodzinnych. Sprawa jest kolejnym przykładem, że coraz niższa bariera wejścia w cyberprzestępczość dotyczy też bardzo młodych użytkowników internetu.  *Źródło: [CyberDefence24](https://cyberdefence24.pl/armia-i-sluzby/policja/nastolatkowie-handlowali-narzedziami-do-cyberatakow) [PL]* --- ### ***Technika Zombie ZIP pozwala złośliwemu oprogramowaniu ominąć skanery bezpieczeństwa*** Badacze odkryli nową technikę ataku określaną jako Zombie ZIP, która polega na tworzeniu plików archiwum ZIP zawierających wewnętrznie sprzeczne nagłówki. Różne narzędzia – skaner bezpieczeństwa i docelowy program rozpakowujący – interpretują ten sam plik inaczej, co sprawia, że skaner widzi „niewinną" zawartość, a ofiara po rozpakowaniu otrzymuje złośliwy ładunek. Jest to eleganckie, ale groźne obejście zabezpieczeń opartych na analizie zawartości archiwów – a pliki ZIP to jeden z najczęstszych wektorów dostarczania malware w attachmentach e-mail czy pobranych plikach. Metoda pokazuje, że cyberprzestępcy stale szukają nieoczekiwanych luk w różnicach implementacyjnych między narzędziami. Administratorzy powinni upewnić się, że ich systemy inspekcji plików są aktualne i potrafią wykrywać tego typu anomalie.  *Źródło: [Bleeping Computer](https://www.bleepingcomputer.com/news/security/new-zombie-zip-technique-lets-malware-slip-past-security-tools/) [EN]* --- ## 🎣 4. OSZUSTWA, SCAMY, EXPLOITY --- ### ***Scammerzy rozsyłają fałszywe legitymacje bankowe wygenerowane przez AI*** Sekurak opisał wstrząsający przykład oszustwa, w którym ofiara straciła około 80 000 zł – m.in. dlatego, że przestępcy wysłali jej wygenerowaną przez AI fałszywą legitymację pracownika „działu bezpieczeństwa banku". Schemat ataku był wieloetapowy: najpierw telefon z ostrzeżeniem o rzekomej próbie wyłudzenia pożyczki, potem „policjant" przez WhatsApp z „weryfikacją" i prośbą o wpłatę pieniędzy na „konto techniczne NBP". Fałszywe SMS-y od nadawcy podszywającego się pod NBP miały uwiarygodnić procedurę. Ofiara osobiście wypłaciła gotówkę i wpłaciła ją kodami BLIK – co skutecznie uniemożliwiło odzyskanie środków. Sekurak przypomina: słowa „konto techniczne" lub „NBP" w kontekście prośby o wpłatę pieniędzy to sygnał alarmowy na 100% oszustwa. Warto też prewencyjnie zastrzec PESEL w aplikacji mObywatel.  *Źródło: [Sekurak](https://sekurak.pl/takie-legitymacje-wysylaja-teraz-scammerzy-zeby-uwiarygodnic-ze-niby-ktos-rozmawia-z-dzialem-bezpieczenstwa-banku/) [PL]* --- ### ***Kampania phishingowa podszywa się pod Krajową Administrację Skarbową*** CERT Polska opublikował ostrzeżenie przed nową kampanią phishingową, w której przestępcy podszywają się pod Krajową Administrację Skarbową (KAS) – jeden z organów cieszących się dużym autorytetem i wywołujących poczucie pilności wśród odbiorców. Wiadomości informują o rzekomej „nowej notyfikacji" i zawierają link prowadzący do fałszywego formularza logowania do Profilu Zaufanego. Celem jest wyłudzenie danych dostępowych do usług rządowych, co może otworzyć przestępcom drzwi do wielu wrażliwych e-usług publicznych. CERT apeluje o weryfikację adresu nadawcy oraz samodzielne wyszukiwanie adresu prawdziwej strony instytucji zamiast klikania w linki z wiadomości. Podejrzane treści można zgłaszać przez formularz na incydent.cert.pl lub SMS na numer 8080.  *Źródło: [CERT Polska (moje.cert.pl)](https://moje.cert.pl/komunikaty/2026/24/uwazaj-na-oszustow-podszywajacych-sie-pod-krajowa-administracje-skarbowa/) [PL]* --- ### ***Fałszywa „weryfikacja tożsamości" na OTOMOTO wyłudza dane do bankowości elektronicznej*** CyberDefence24 opisało nowy schemat oszustwa wymierzonego w sprzedających samochody na platformie OTOMOTO. Przestępcy kontaktują się przez czat platformy, podszywając się pod jej administratorów i informując o konieczności „weryfikacji tożsamości" w związku z wystawionym ogłoszeniem. W przesyłanym pliku PDF znajduje się rzekoma instrukcja procedury, a link prowadzi na stronę łudząco przypominającą OTOMOTO. Na jednym z etapów ofiara proszona jest o zalogowanie się do bankowości elektronicznej – a wprowadzone dane trafiają bezpośrednio do przestępców. Mechanizm wzbudzania poczucia pilności i pozorów rutynowości jest tu kluczowy. Eksperci przypominają: żadna legalna platforma ogłoszeniowa nie wymaga logowania do banku w celu weryfikacji konta sprzedającego.  *Źródło: [CyberDefence24](https://cyberdefence24.pl/cyberbezpieczenstwo/cyberataki/sprzedajesz-auto-na-otomoto-uwazaj-na-falszywa-weryfikacje) [PL]* --- ### ***Złośliwe oprogramowanie ukryte w CV atakuje działy HR i rekruterów*** Badacze bezpieczeństwa odnotowali rosnącą falę ataków, w których złośliwe oprogramowanie dostarczane jest poprzez zainfekowane pliki CV przesyłane do działów HR i rekruterów. Atakujący w sprytny sposób wykorzystują fakt, że pracownicy HR regularnie otwierają pliki od nieznajomych – bo to po prostu część ich pracy. Złośliwe dokumenty lub archiwa zawierają ukryte payloady, które uruchamiają się w chwili otwarcia pliku, dając atakującym dostęp do systemów firmowych. To szczególnie niebezpieczny wektor ze względu na trudność w zmianie przyzwyczajeń zawodowych rekruterów – nie można przecież przestać otwierać CV. Organizacje powinny wdrożyć sandboxing dla przychodzących plików, a pracownicy HR powinni korzystać ze specjalnie zabezpieczonych środowisk do otwierania dokumentów.  *Źródło: [Help Net Security](https://www.helpnetsecurity.com/2026/03/10/hr-recruiters-malware-resume/) [EN] | [The Register](https://www.theregister.com/2026/03/10/malware_targeting_hr/) [EN]* --- ## 🌐 5. DEZINFORMACJA, CYBER WOJNA --- ### ***APT28 prowadzi wieloletnią kampanię szpiegowską przeciw ukraińskim siłom zbrojnym*** Badacze ESET ujawnili szczegóły długoterminowej kampanii szpiegowskiej prowadzonej przez rosyjską grupę APT28 (znaną też jako Fancy Bear / Sednit / GRU Unit 26165) wymierzonej w ukraińskie wojsko. Od co najmniej kwietnia 2024 roku grupy używają dwóch spersonalizowanych narzędzi: BEARDSHELL – backdoora pobierającego i uruchamiającego skrypty PowerShell przez API usługi Icedrive – oraz COVENANT, zmodyfikowanego frameworka post-eksploatacyjnego przystosowanego do długoletniego szpiegostwa. Co intrygujące, analiza kodu wykazała silne podobieństwa do narzędzi APT28 z okresu 2010–2018, w tym do XAgent używanego podczas włamań do Demokratycznego Komitetu Partii w USA. Wskazuje to na ciągłość wewnętrznych zespołów deweloperskich grupy przez ponad dekadę. ESET podkreśla, że zastosowanie dwóch oddzielnych chmur jako kanałów C2 dla obu narzędzi utrudnia jednoczesne wyłączenie infrastruktury.  *Źródło: [Security Affairs](https://securityaffairs.com/189230/apt/apt28-conducts-long-term-espionage-on-ukrainian-forces-using-custom-malware.html) [EN] | [The Hacker News](https://thehackernews.com/2026/03/apt28-uses-beardshell-and-covenant.html) [EN] | [Dark Reading](https://www.darkreading.com/cyber-risk/sednit-resurfaces-with-sophisticated-new-toolkit) [EN]* --- ### ***Chińska grupa CL-UNK-1068 prowadzi wieloletnią kampanię szpiegowską w krytycznych sektorach Azji*** Analitycy bezpieczeństwa opisali działalność chińskiej grupy hakerskiej oznaczonej jako CL-UNK-1068, która od lat prowadzi ukierunkowane ataki na krytyczne sektory w Azji, w tym energetykę, telekomunikację i instytucje rządowe. Kampania charakteryzuje się wysokim poziomem sofistykacji – atakujący potrafią utrzymywać długotrwały, niewidoczny dostęp do skompromitowanych systemów. Cele dobierane są strategicznie pod kątem wartości wywiadowczej, a nie finansowej, co wskazuje na sponsorowanie przez państwowego aktora. Analiza Dark Reading podkreśla, że chińskie grupy APT coraz częściej koncentrują się na utrzymaniu długoterminowego dostępu zamiast spektakularnych jednorazowych ataków. To niepokojący trend, szczególnie w kontekście rosnących napięć geopolitycznych w regionie Indo-Pacyfiku.  *Źródło: [Dark Reading](https://www.darkreading.com/threat-intelligence/chinese-cyber-threat-critical-asian-sectors) [EN] | [Kapitan Hack](https://kapitanhack.pl/chinska-grupa-cl-unk-1068-prowadzi-wieloletnia-kampanie-szpiegowska-przeciwko-sektorom-krytycznym/) [PL]* --- ### ***USA przechwyciły tajemniczą transmisję z Iranu – spekulacje o aktywacji uśpionych agentów*** Amerykańskie służby wywiadowcze miały przechwycić tajemniczą transmisję o nieznanym jeszcze charakterze, która pochodziła z Iranu i wzbudziła poważne obawy analityków. Informacja trafiła do mediów w kontekście spekulacji o możliwej aktywacji sieci tzw. uśpionych agentów – osób rekrutowanych przez irański wywiad, które przez lata prowadzą normalne życie w państwach zachodnich, czekając na sygnał do działania. Tego typu operacje są częścią szerszej strategii wywiadów państwowych, pozwalającej na szybkie uruchomienie zasobów bez konieczności przerzutu agentów przez granice. Informacja pojawia się w czasie narastających napięć wokół irańskiego programu nuklearnego i rosnącej aktywności irańskich grup hakerskich na arenie międzynarodowej. Eksperci ds. kontrwywiadu przypominają, że zagrożenia hybrydowe łączą w sobie elementy cyberoperacji, dezinformacji i działań agentów w terenie.  *Źródło: [Infosecurity24.pl](https://infosecurity24.pl/za-granica/usa-przechwycily-tajemnicza-transmisje-z-iranu-mozliwa-aktywacja-uspionych-agentow) [PL]* ----- *📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 10 marca 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.* </div>
👍 solairitas, solairibot, herosik, lesiopm, racibo, browery, pl-travelfeed, saunter, for91days, lynxialicious, velmafia, merthin, poliac, randomgoodstuff, helgalubevi, bartheek, ptaku-fotodron, locky772, kap1, poprzeczka, sarmaticus, sarmagames, sarmatiapay, sensorycznyswiat, empis, hive-199021, jacek-kowalski, hive-lu, jocieprosza, hive-134382, polish.hive, hierkraj, jocieprosza.leo, moniqwashere, terra.sinkhole, kadr-pokaze, terekubac, fractalnode, pkocjan, gunthertopp, cheer-up, bowess, voitaksoutache, voitakjewelry, pignys, engrave, czekolada, xara, glodniwiedzy, angatt, merlin7, mismo, rafalski, hugo4u, stafhalr, dysydent, waryszak, grecki-bazar-ewy, punia, deepresearch, szukamnemo, techguard, arkwal,