🔐 Cyber Security Daily News | 01.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
CopyFail (CVE-2026-31431) — krytyczna luka w jądrze Linuksa daje prawa roota na milionach systemów
Ujawniono poważną podatność w jądrze Linuksa oznaczoną CVE-2026-31431, nazwaną "CopyFail", która dotyka wszystkich dystrybucji wydanych po 2017 roku — RHEL, Ubuntu, SUSE, Amazon Linux i innych. Badacze z Xint opublikowali 732-bajtowego exploita w Pythonie, który w praktyce działa za pierwszym razem, nie destabilizuje systemu i jest przenaszalny między dystrybucjami. To klasa "local privilege escalation" — atakujący musi mieć konto na systemie, ale po uruchomieniu skryptu błyskawicznie uzyskuje prawa roota. Luka polega na tym, że funkcja splice() przekazuje strony z pamięci podręcznej jądra do podsystemu kryptograficznego bez odpowiedniej weryfikacji ich przynależności. Podatność zgłoszono pod koniec marca 2026, załatano 1 kwietnia, a exploit upubliczniono 29 kwietnia. Aktualizacja kernela to dziś absolutny priorytet dla każdego administratora systemu Linux.
Źródło: Niebezpiecznik [PL], Sekurak [PL], SecurityWeek [EN]
Wojsko Polskie wdraża AI do walki na polu bitwy — kod źródłowy pozostaje w rękach Sił Zbrojnych RP
Polskie Siły Zbrojne intensywnie rozwijają zastosowania sztucznej inteligencji w celach militarnych, traktując ją nie jako ciekawostkę technologiczną, lecz jako kluczowy element przewagi operacyjnej. W odróżnieniu od wielu komercyjnych wdrożeń, opracowywane rozwiązania w całości pozostają własnością i pod kontrolą wojska — w tym kod źródłowy. To istotny element suwerenności technologicznej i bezpieczeństwa w kontekście potencjalnych wrogich operacji wpływu czy sabotażu. AI ma wspomagać rozpoznanie, analizę sygnałów i wsparcie decyzyjne na polu walki. Inicjatywa wpisuje się w szerszy wyścig zbrojny z udziałem AI prowadzony jednocześnie przez Rosję, Chiny i kraje NATO.
Źródło: CyberDefence24 [PL]
Chińska grupa Shadow-Earth-053 szpiegowała sieci w Polsce i Azji — ekskluzywne ustalenia The Register
Badacze ujawnili działalność nieznanej wcześniej chińskiej grupy szpiegowskiej Shadow-Earth-053, która przez długi czas gościła w sieciach w Polsce i kilku krajach azjatyckich. Polska jest krajem NATO, a jej wytypowanie jako cel podkreśla eskalację chińskiego szpiegostwa cybernetycznego wymierzonego w sojuszników zachodnich. Napastnicy używali przemianowanych systemowych narzędzi Windows (tzw. "living off the land"), by zgubić się w normalnym ruchu sieciowym i uniknąć detekcji. Do poruszania się po zainfekowanych środowiskach stosowali Windows Management Instrumentation (WMIC), a na kolejne serwery rozsiewali webshelle, stale zbierając po drodze kolejne dane uwierzytelniające. Ekspert ds. bezpieczeństwa Tom Kellermann skomentował, że atakowanie Polski "pokazuje, jak bardzo rośnie cyberwywiad i cyberwojska". Ujawnienie nastąpiło tuż przed szczytem Trump–Xi, co nadaje odkryciu wyraźny wymiar dyplomatyczny.
Źródło: The Register [EN]
🚨 INCYDENTY
Cyfrowy Polsat — wyciek danych abonentów: numery PESEL i dane z dowodów osobistych trafiły w niepowołane ręce
Cyfrowy Polsat poinformował klientów o poważnym incydencie bezpieczeństwa, w wyniku którego do rąk przestępców trafiły wrażliwe dane osobowe abonentów. Zakres wycieku obejmuje imiona i nazwiska, numery PESEL, dane z dokumentów tożsamości oraz adresy. Dobrą informacją jest to, że nie wyciekły hasła do kont ani dane kart płatniczych. Firma podkreśla, że jej własne systemy informatyczne nie zostały przełamane — incydent dotyczył danych przetwarzanych w ramach umów o usługi komunikacji elektronicznej. Wcześniej w darknecie pojawiał się wpis grupy ALP-001 o rzekomej kradzieży 75 GB danych z Polsatu, który teraz nabiera nowego sensu. Ze względu na wyciek numerów PESEL istnieje poważne ryzyko kradzieży tożsamości i wyłudzenia kredytów. Polsat zaleca niezwłoczne zastrzeżenie PESEL przez aplikację mObywatel, gov.pl lub w urzędzie gminy.
Źródło: Telepolis [PL], Telepolis [PL]
CBŚP rozbiło piramidę finansową AdBlast — 90 tysięcy ofiar, 32 mln dolarów strat
Centralne Biuro Śledcze Policji zatrzymało pięć osób podejrzanych o prowadzenie zorganizowanej grupy przestępczej wokół platformy AdBlast, która działała jako klasyczna piramida finansowa. Łączna liczba pokrzywdzonych przekracza 90 tysięcy osób, a straty wynoszą co najmniej 32 mln dolarów — sama kwota objęta zarzutami to ponad 15 mln złotych. Ofiary mogły kupować pakiety od 10 do 1000 dolarów lub nabywać statusy na platformie — zyski zależały głównie od wciągania nowych uczestników, co jest klasycznym mechanizmem piramidy Ponziego. Pieniądze były prane przez bitcoina, giełdy kryptowalut, BLIK i kantory. Śledczym udało się zidentyfikować adresy w sieci Bitcoin dzięki analizie wstecznej inżynierii platformy. Zatrzymania prowadzono od marca do 27 kwietnia 2026 roku.
Źródło: CyberDefence24 [PL]
Policja rozbija 9 centrów oszustw kryptowalutowych — 276 aresztowań
Skoordynowana operacja policyjna doprowadziła do zamknięcia 9 centrów telefonicznych specjalizujących się w oszustwach na fałszywe inwestycje kryptowalutowe i zatrzymania 276 podejrzanych. Skala operacji pokazuje, z jak dużą siatką przestępczą mają do czynienia służby — setki "agentów" telefonicznych pracujących jednocześnie w różnych lokalizacjach. Centra te działają na zasadzie call center: rekrutują ofiary przez media społecznościowe, budują zaufanie i nakłaniają do wpłat na fałszywe platformy. Przejęte urządzenia i dane pozwolą na identyfikację kolejnych uczestników sieci.
Źródło: BleepingComputer [EN]
💡 CIEKAWOSTKI
FBI: ekosystem chińskich hakerów na wynajem "wymknął się spod kontroli"
Dyrektor Cyber Division FBI użył bezprecedensowo dosadnego sformułowania, opisując chiński ekosystem hakerów na wynajem jako ten, który "wymknął się spod kontroli" (ang. "gotten out of control"). W tle tej deklaracji są nowe akty oskarżenia wobec 12 chińskich obywateli — w tym dwóch oficerów Ministerstwa Bezpieczeństwa Publicznego i pracowników firmy i-Soon (Anxun Information Technology) — powiązanych z grupą APT27 / Silk Typhoon. Oskarżeni mieli włamywać się do sieci na zlecenie chińskich służb i przekazywać dane wywiadowcze, a jednocześnie prowadzić ataki dla zysku finansowego. FBI i Departament Stanu oferują nagrody do 2 mln dolarów za informacje prowadzące do aresztowania kluczowych podejrzanych. Sprawa pokazuje systemowy charakter problemu: Chiny używają prywatnych firm technologicznych jako warstwy ochronnej kamuflującej operacje hakerskie państwa.
Źródło: The Register [EN]
AI napędza cyberataki na przemysł — czas od luki do exploita skrócył się do godzin
Raport SecurityWeek alarmuje, że dzięki narzędziom opartym na AI cyberprzestępcy skrócili czas od wykrycia podatności do jej aktywnej eksploatacji z dni i tygodni do zaledwie kilku godzin. Dotyczy to szczególnie sektora przemysłowego i infrastruktury krytycznej, gdzie systemy operacyjne (OT/ICS) często nie są aktualizowane tak szybko jak środowiska IT. AI pozwala nie tylko szybciej znajdować luki, ale też automatyzować tworzenie exploitów, personalizowanie ataków phishingowych i omijanie zabezpieczeń. Organizacje przemysłowe, które dotychczas "chroniły się izolacją", są coraz bardziej zintegrowane z internetem i tym samym wystawione na te same zagrożenia co firmy IT. Eksperci apelują, by priorytetowo traktować łatanie systemów OT — i to w ciągu godzin, nie miesięcy.
Źródło: SecurityWeek [EN]
🎣 OSZUSTWA, SCAMY, EXPLOITY
BlueKit — nowy phishing-as-a-service z asystentem AI i 40 gotowymi szablonami ataków
BleepingComputer opisuje nową platformę phishingową BlueKit, która oferuje abonentom gotowy zestaw do przeprowadzania ataków phishingowych — w tym wbudowanego asystenta AI pomagającego konfigurować i dostosowywać kampanie. Do dyspozycji przestępców jest ponad 40 szablonów udających popularne serwisy, m.in. platformy bankowe, e-commerce i media społecznościowe. BlueKit obsługuje techniki omijania MFA (wieloskładnikowego uwierzytelniania) poprzez ataki typu adversary-in-the-middle (AiTM), gdzie phishingowa strona działa jako proxy między ofiarą a prawdziwym serwisem — przechwytując token sesji użytkownika nawet po skutecznym zalogowaniu z MFA. To drastyczne obniżenie progu wejścia dla przestępców: by prowadzić zaawansowane kampanie phishingowe, nie trzeba już żadnej wiedzy technicznej.
Źródło: BleepingComputer [EN]
CERT Polska: uwaga na fałszywe sklepy podszywające się pod znane firmy
CERT Polska wydał nowy alert ostrzegający przed kolejną falą fałszywych sklepów internetowych, które podszywają się pod wizerunek rozpoznawalnych polskich marek i instytucji. Strony wyglądają profesjonalnie, mają certyfikaty SSL i kopiują elementy graficzne oryginalnych serwisów — co sprawia, że są trudne do odróżnienia na pierwszy rzut oka. Ofiara dokonuje płatności, a zamówiony towar nigdy nie dociera. Kampania jest kolejną odsłoną trendu opisywanego przez CERT Orange: AI umożliwia masowe, zautomatyzowane tworzenie wiarygodnych kopii stron. Przed każdym zakupem warto sprawdzić datę rejestracji domeny (np. przez whois.domaintools.com) — nowe domeny z wysokimi rabatami to niemal pewny sygnał ostrzegawczy.
Źródło: CERT Polska [PL]
EtherRAT — nowy trojan zdalnego dostępu dystrybuowany przez fałszywe strony z oprogramowaniem
The Hacker News opisuje kampanię dystrybuującą nowe złośliwe oprogramowanie EtherRAT (Remote Access Trojan), rozsiewane przez sfałszowane strony popularnych narzędzi — mechanizm znany jako spoofing dystrybucji. EtherRAT daje atakującemu pełny zdalny dostęp do zainfekowanego urządzenia: może przechwytywać ekran, rejestrować klawisze, kraść pliki i podsłuchiwać aktywność użytkownika. Kampania celuje w użytkowników systemu Windows i jest aktywnie dystrybuowana przez podejrzane reklamy w wyszukiwarkach (malvertising). To kolejne ostrzeżenie: pobieranie oprogramowania z wyników reklamowych w Google lub Bing zamiast z oficjalnych stron producenta to proszenie się o kłopoty.
Źródło: The Hacker News [EN]
🌐 DEZINFORMACJA, CYBER WOJNA
Iran (Handala) ujawnia dane żołnierzy US Marines i wysyła groźby przez WhatsApp
Bitdefender informuje, że irańska grupa Handala, znana z wcześniejszych ataków na izraelski sektor energetyczny i finansowy, opublikowała dane wywiadowcze dotyczące żołnierzy US Marines — i wysłała bezpośrednie wiadomości z groźbami przez WhatsApp. To eskalacja: od cyberataku na infrastrukturę do bezpośrednich gróźb wobec konkretnych żołnierzy. Wyciek danych wojskowych, nawet niejawnych, może mieć konsekwencje operacyjne — ujawnia miejsca stacjonowania, harmonogramy i strukturę jednostek. Akcja jest elementem irańskiej kampanii wymierzonej w obecność USA na Bliskim Wschodzie, nasilającej się od początku 2026 roku.
Źródło: Bitdefender [EN]
Francja: zatrzymano głównego podejrzanego w gigantycznym wycieku danych rządowych
The Register informuje o zatrzymaniu głównego podejrzanego w sprawie jednego z największych wycieków danych rządowych w historii Francji. Wcześniejszy incydent dotknął miliony obywateli — w tym dane z ubezpieczeń zdrowotnych i świadczeń socjalnych. Tego rodzaju masowe naruszenia danych rządowych mają podwójny wymiar: natychmiastowy (ryzyko kradzieży tożsamości dla milionów osób) i strategiczny (skradzione dane mogą posłużyć do operacji wywiadowczych lub szantażu urzędników). Tożsamość podejrzanego nie została upubliczniona. Sprawa jest pod nadzorem prokuratury ds. cyberprzestępczości (PNCC).
Źródło: The Register [EN]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 30 kwietnia 2026 r. W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.